Tech Lead (MDM, Golang, Java, IOS)

Top 3 reasons to join us

• Đóng BHXH – BHYT – BHTN trên lương đầy đủ.
• Lương tháng 13, thưởng Tết và hiệu quả công việc.
• Ngân sách học tập và đào tạo hằng năm.

Job description

1. THÔNG TIN CHUNG / GENERAL INFORMATION

• Tên vị trí / Position:        Tech Lead
• Phòng ban / Department:        Kỹ thuật (Engineering)
• Báo cáo cho / Report to:        Engineering Manager / CTO
• Số lượng / Headcount:        1-2
• Cấp bậc / Level:        Tech Lead

2. MỤC TIÊU CÔNG VIỆC / JOB PURPOSE

Dẫn dắt đội ngũ kỹ thuật phát triển sản phẩm MDM, định hướng kiến trúc hệ thống và lựa chọn công nghệ. Chịu trách nhiệm về chất lượng, hiệu năng, bảo mật của toàn bộ sản phẩm; hướng dẫn, đào tạo đội ngũ và đảm bảo tiến độ giao hàng. Đóng vai trò chủ chốt trong việc xây dựng sản phẩm MDM cạnh tranh tại thị trường Việt Nam và khu vực.
Lead the engineering team in developing MDM products, drive architectural decisions and technology choices. Own the quality, performance, and security of the entire product; mentor team members and ensure on-time delivery. Play a key role in building a competitive MDM product for the Vietnamese and regional markets.

3. TRÁCH NHIỆM CHÍNH / KEY RESPONSIBILITIES

• Thiết kế kiến trúc tổng thể (high-level & low-level design) cho hệ thống MDM: backend services, admin console, mobile agent.
  Design high-level and low-level architecture for the entire MDM system: backend services, admin console, and mobile agent.
• Định hướng lựa chọn công nghệ, framework, thư viện cho từng module; ra quyết định build vs buy.
  Drive technology, framework, and library selection across modules; make build-vs-buy decisions.
• Dẫn dắt đội 4-8 developer: phân chia công việc, mentor, code review, đánh giá hiệu suất.
  Lead a team of 4–8 developers: task allocation, mentoring, code review, and performance evaluation.
• Chịu trách nhiệm cuối cùng về chất lượng code, kiến trúc bảo mật và hiệu năng hệ thống.
  Ultimately responsible for code quality, security architecture, and overall system performance.\
• Thiết kế và rà soát các luồng bảo mật cốt lõi: enrollment, attestation, key provisioning, certificate lifecycle, secure OTA.
  Design and review core security flows: enrollment, attestation, key provisioning, certificate lifecycle, and secure OTA.\
• Làm việc trực tiếp với Product Manager, Security Team, DevOps để phân tích yêu cầu, ước lượng và lập kế hoạch sprint/release.
  Collaborate directly with Product Managers, Security Team, and DevOps on requirement analysis, estimation, and sprint/release planning.
• Xây dựng và duy trì coding standards, branching strategy, CI/CD pipeline, quy trình release.
  Establish and maintain coding standards, branching strategy, CI/CD pipelines, and release processes.
• Phân tích sự cố production nghiêm trọng, dẫn dắt root cause analysis và đề xuất giải pháp dài hạn.
  Triage major production incidents, lead root cause analysis, and propose long-term fixes.
• Đại diện kỹ thuật làm việc với khách hàng lớn, đối tác, nhà cung cấp HSM/PKI khi cần.
  Act as the technical representative with key clients, partners, and HSM/PKI vendors when needed.
• Theo dõi xu hướng công nghệ (Android Enterprise, Apple Business Manager, Zero Trust, PQC) và đưa ra lộ trình áp dụng.
  Track technology trends (Android Enterprise, Apple Business Manager, Zero Trust, PQC) and propose adoption roadmaps.
• Đào tạo nội bộ, nâng cấp kiến thức bảo mật và kỹ năng cho team.
  Conduct internal training to upskill the team in security and engineering best practices.

Your skills and experience

4. YÊU CẦU / REQUIREMENTS

4.1. Học vấn / Education

Cử nhân/Thạc sĩ CNTT, Khoa học máy tính, An toàn thông tin hoặc tương đương. Các chứng chỉ liên quan (CISSP, CEH, AWS, GCP) là một lợi thế.
Bachelor's or Master's degree in IT, Computer Science, Information Security, or equivalent. Relevant certifications (CISSP, CEH, AWS, GCP) are a plus.

4.2. Kinh nghiệm / Experience

Tối thiểu 6-8 năm kinh nghiệm phát triển phần mềm, trong đó có ít nhất 2 năm ở vai trò Tech Lead hoặc tương đương. Có kinh nghiệm dẫn dắt team ≥ 4 người và đã đưa ít nhất một sản phẩm bảo mật/mobile/MDM ra production.
At least 6–8 years of software development experience, including 2+ years as a Tech Lead or equivalent. Proven experience leading a team of 4+ engineers and shipping at least one security/mobile/MDM product to production.

4.3. Kỹ năng kỹ thuật / Technical Skills

a) Phát triển phần mềm / Software Development

• Backend: Chuyên sâu Golang/Java, microservices, message queue (Kafka/RabbitMQ/NATS), gRPC, RESTful API, SQL/NoSQL, caching, distributed systems.
• Frontend: Hiểu sâu React.js/Vue.js, TypeScript, state management, performance optimization; có khả năng review code và định hướng kiến trúc UI.
• Mobile: Thành thạo Android (Kotlin) và/hoặc iOS (Swift); hiểu rõ Android Enterprise (Device Owner, Profile Owner, Work Profile) và Apple MDM protocol (DEP, VPP, ABM, ASM).
• Cloud & Infra: AWS/GCP/Azure ở mức kiến trúc; Kubernetes, Terraform, observability stack (Prometheus, Grafana, ELK, OpenTelemetry).
• DevSecOps: CI/CD nâng cao, SAST/DAST/SCA, secret management, supply chain security (SLSA, SBOM).
• Phương pháp: Agile/Scrum, system design, architectural decision records (ADR), threat modeling (STRIDE, PASTA).

b) Bảo mật phần cứng & Trusted Execution / Hardware Security & Trusted Execution

Hiểu sâu và có khả năng thiết kế giải pháp khai thác các chip/môi trường bảo mật trên thiết bị; có thể đánh giá rủi ro và đưa ra lựa chọn kiến trúc phù hợp:
Deep expertise in on-device security chips/environments with the ability to architect, evaluate trade-offs, and make sound design choices:

• Apple Secure Enclave (SEP): kiến trúc SEP, lifecycle khóa qua kSecAttrTokenIDSecureEnclave, biometric-bound keys, DataProtection classes, Keychain ACL; thiết kế các tính năng MDM khai thác SEP cho Apple devices.
  Architect SEP-based features: key lifecycle, biometric-bound keys, DataProtection classes, and Keychain ACLs across the MDM stack on Apple devices.
• Android StrongBox & TEE: Android Keystore với StrongBox, phân biệt software/TEE/StrongBox-backed keys, ID/Key Attestation, Verified Boot state; đánh giá tương thích trên dải thiết bị OEM khác nhau.
  Design StrongBox/TEE-based features, perform key/ID attestation, and assess compatibility across OEM device fleets.
• TPM 2.0: PCR, sealed storage, remote attestation, EK/AIK certificates; thiết kế desktop MDM agent và mô hình device identity dựa trên TPM.
  Architect desktop MDM agents and TPM-based device identity using PCRs, sealed storage, and EK/AIK certificates.
• HSM & Cloud KMS: thiết kế và vận hành hệ thống quản lý khóa với HSM on-prem (Thales, Utimaco) hoặc cloud KMS (AWS KMS/CloudHSM, GCP KMS, Azure Key Vault) qua PKCS#11/KMIP; lập kế hoạch high availability, disaster recovery cho key material.
  Architect key management with on-prem HSMs or cloud KMS via PKCS#11/KMIP; plan HA/DR for cryptographic key material.
• Mô hình tin cậy phân tầng: Root of Trust → Secure Boot → Verified Boot → Attestation; thiết kế cơ chế kiểm tra tính toàn vẹn của fleet thiết bị, xử lý tampered/rooted/jailbroken devices.
  Design integrity verification across the device fleet and handle tampered/rooted/jailbroken endpoints.

c) Mã hoá & Mật mã học ứng dụng / Cryptography & Applied Cryptography

Có khả năng đưa ra quyết định mật mã ở cấp độ kiến trúc, lựa chọn nguyên hàm phù hợp và rà soát code/cấu hình của team:
Able to make cryptographic decisions at the architectural level, select appropriate primitives, and review the team's implementations and configurations:

• Mã hoá đối xứng: AES-GCM/GCM-SIV/CBC/CTR, ChaCha20-Poly1305; nắm chắc nonce management, AEAD design, padding oracle, timing attacks.
  AES-GCM/GCM-SIV/CBC/CTR, ChaCha20-Poly1305; mastery of nonce management, AEAD design, padding oracle, and timing attacks.
• Mã hoá bất đối xứng: RSA (PKCS#1 v1.5, OAEP, PSS) ≥ 2048-bit, hiểu rõ pitfalls; có thể tư vấn migration plan từ RSA sang ECC.
  RSA (PKCS#1 v1.5, OAEP, PSS) ≥ 2048 bits with deep understanding of pitfalls; able to advise on migration from RSA to ECC.
• Elliptic Curve: ECDSA, EdDSA (Ed25519), ECDH/X25519, NIST P-256/P-384, Curve25519; chọn đúng curve theo ngữ cảnh mobile, IoT, server.
  ECDSA, EdDSA (Ed25519), ECDH/X25519 across NIST and Curve25519 families; pick curves appropriate to mobile, IoT, or server contexts.
• Hash, MAC, KDF: SHA-2/3, BLAKE2/3, HMAC, HKDF, PBKDF2, Argon2, scrypt; thiết kế đúng KDF cho từng use case (password, key derivation, session keys).
  SHA-2/3, BLAKE2/3, HMAC, and KDFs (HKDF, PBKDF2, Argon2, scrypt) with correct selection per use case.
• Mật mã hậu lượng tử (PQC): hiểu ML-KEM (Kyber), ML-DSA (Dilithium), hybrid schemes; có thể xây dựng PQC roadmap cho sản phẩm MDM.
  Understand ML-KEM (Kyber), ML-DSA (Dilithium), hybrid schemes, and build a PQC roadmap for the MDM product.
• Thư viện chuẩn: Tink, libsodium, BoringSSL, BouncyCastle, JCA/JCE, CryptoKit; nghiêm cấm và rà soát các trường hợp tự cài đặt thuật toán trong team.
  Mandate well-vetted libraries (Tink, libsodium, BoringSSL, BouncyCastle, JCA/JCE, CryptoKit) and audit against custom cryptography.

d) Mã hoá dữ liệu & Chữ ký số / Data Encryption & Digital Signatures

Thiết kế và sở hữu kiến trúc bảo vệ dữ liệu end-to-end trong toàn bộ hệ thống MDM:
Own the end-to-end data protection architecture across the entire MDM system:

• Encryption at rest: FDE, FBE (Android), FileVault/APFS, envelope encryption (DEK/KEK), AES-KW (RFC 5649); thiết kế chiến lược lưu trữ và xoay vòng khóa.
  FDE, FBE (Android), FileVault/APFS, envelope encryption (DEK/KEK), AES-KW; design key storage and rotation strategy.
• Encryption in transit: TLS 1.2/1.3, mTLS server↔agent, certificate pinning, OCSP stapling, HSTS; thiết kế phòng thủ trước downgrade, MITM, BEAST, CRIME.
  TLS 1.2/1.3, mTLS server↔agent, certificate pinning, OCSP stapling, HSTS; design defenses against downgrade, MITM, BEAST, and CRIME.
• PKI & quản lý chứng thư số: X.509, CSR, chain validation, OCSP/CRL, SCEP, EST, ACME; thiết kế và vận hành internal CA cho MDM enrollment ở quy mô fleet lớn.
  Design and operate an internal CA for MDM enrollment at fleet scale.
• Chữ ký số: ký command/policy server→agent, firmware/OTA, APK/IPA signing & verification, timestamping (RFC 3161), JWT/JWS/JWE/COSE.
  Sign commands/policies, firmware/OTA, APK/IPA, with timestamping and JWT/JWS/JWE/COSE for API authentication.
• Key management lifecycle: generation, distribution, rotation, revocation, escrow, destruction; tách bạch signing/encryption keys; tuân thủ NIST SP 800-57.
  Full key lifecycle with separation of signing and encryption keys, in line with NIST SP 800-57.
• Secure channels & protocols: Noise, Signal Protocol, Double Ratchet cho secure messaging server↔agent khi cần.
  Noise, Signal Protocol, Double Ratchet for secure server↔agent messaging when required.
• Threat modeling & secure SDLC: STRIDE, LINDDUN, abuse cases; xây dựng quy trình review bảo mật cho từng tính năng.
  Embed STRIDE/LINDDUN/abuse-case threat modeling into the SDLC for every feature.

Hiểu sâu các tiêu chuẩn & chứng nhận: FIPS 140-2/140-3, Common Criteria, NIST SP 800-series, ISO 27001, SOC 2, và quy định mật mã Việt Nam (Nghị định 53/2022/NĐ-CP, tiêu chuẩn của Ban Cơ yếu Chính phủ). Có khả năng dẫn dắt team đạt các chứng nhận này.
In-depth knowledge of FIPS 140-2/140-3, Common Criteria, NIST SP 800-series, ISO 27001, SOC 2, and Vietnamese cryptographic regulations; able to lead the team toward these certifications.

4.4. Kỹ năng mềm / Soft Skills

• Lãnh đạo và truyền cảm hứng cho team kỹ thuật.
  Leadership and ability to inspire an engineering team.
• Tư duy hệ thống, ra quyết định dựa trên dữ liệu và rủi ro.
  Systems thinking with data- and risk-driven decision making.
• Giao tiếp tốt với cả stakeholder kỹ thuật và phi kỹ thuật.
  Effective communication with both technical and non-technical stakeholders.
• Tư duy bảo mật (security mindset) ở mức kiến trúc; luôn đặt câu hỏi "kẻ tấn công sẽ làm gì?".
  Architectural-level security mindset — always asking "what would an attacker do?"
• Kỹ năng mentor, đào tạo và phát triển đội ngũ.
  Strong mentoring, training, and team development skills.
• Tiếng Anh đọc/viết tốt; giao tiếp với đối tác nước ngoài là một lợi thế.
  Strong written English; spoken English with foreign partners is a plus.

5. KPI ĐO LƯỜNG HIỆU QUẢ / KEY PERFORMANCE INDICATORS

• KPI 1: Đảm bảo ≥ 90% sprint goals của team đạt được theo cam kết.
  Ensure ≥ 90% of team sprint goals are met as committed.
• KPI 2: Code coverage trung bình của team ≥ 80%; không có vùng critical < 70%.
  Team-wide code coverage ≥ 80%; no critical module below 70%.
• KPI 3: Số production incident nghiêm trọng (Sev-1/Sev-2) ≤ 2/quý.
  ≤ 2 Sev-1/Sev-2 production incidents per quarter.
• KPI 4: Không có lỗ hổng Critical/High trên sản phẩm MDM khi pentest định kỳ.
  Zero Critical/High vulnerabilities in MDM products during periodic pentests.
• KPI 5: ≥ 2 thành viên trong team được promote hoặc đạt mục tiêu phát triển nghề nghiệp/năm.
  ≥ 2 team members promoted or hitting career goals per year.
• KPI 6: Hoàn thành đúng hạn các milestone kiến trúc, security audit, certification theo roadmap.
  Deliver architecture milestones, security audits, and certifications on the roadmap.

6. CÔNG CỤ SỬ DỤNG / TOOLSTACK

• Cursor Pro + GitHub Copilot, Claude Pro, GitHub Team, Jira, Postman, Docker, BrowserStack, Figma.

Why you'll love working here

7. QUYỀN LỢI / BENEFITS

• Lương / Salary: Từ 60.000.000 – 90.000.000 đồng (thoả thuận theo năng lực).
  VND 60,000,000 – 90,000,000 (negotiable based on capability).
• Đóng đầy đủ BHXH – BHYT – BHTN trên mức lương.
  Full Social, Health, and Unemployment Insurance.
• Lương tháng 13, thưởng Tết, thưởng dự án, hưởng theo hiệu quả công việc và milestone sản phẩm.
  3th-month salary, Tet bonus, project bonuses, performance-based bonuses, and product milestone rewards.
• Ngân sách học tập và đào tạo hằng năm
  Annual learning and development budget
• Các quyền lợi khác sẽ được nêu rõ khi phỏng vấn.
  Other benefits to be discussed during the interview.
• Thời gian làm việc / Working hours: Thứ 2 – Thứ 7, 8:00 – 17:00. 
  Monday – Saturday, 8:00 AM – 5:00 PM.