Fintech IT Infrastructure · Cryptography & Security
Fintech IT-Infrastruktur · Kryptographie & IT-Sicherheit

J/Pfingstmann

14+ years in regulated payments infrastructure · PCI-DSS · HSM · Linux · remote-first since 2016

14+ Jahre in regulierter Zahlungsinfrastruktur · PCI-DSS · HSM · Linux · vollständig remote seit 2016

linkedin.com/in/jasonpfingstmann
Profile
Profil

Technical specialist with 14+ years of experience in highly regulated payments and fintech environments. Architectural ownership of mission-critical messaging, cryptographic, and Linux platform infrastructure at the operator of the Zelle® and PAZE™ networks — fully remote since October 2016.

I design systems that hold up under audit scrutiny and operational pressure: high-availability payment infrastructure, FIPS 140-2 compliant HSM deployments, and enterprise-scale automation platforms. I've presented controls directly to PCI-QSA and SOC auditors and driven architectural remediation in response to findings — not just documentation, but actual engineering change.

Available for principal-level architecture roles or senior freelance/contract engagements in fintech, banking, and regulated infrastructure.

Technischer Spezialist mit über 14 Jahren Erfahrung in stark regulierten Zahlungsverkehrs- und Fintech-Umgebungen. Architekturverantwortung für unternehmenskritische Messaging-, Kryptographie- und Linux-Plattforminfrastruktur beim Betreiber der Zelle®- und PAZE™-Netzwerke — vollständig remote seit Oktober 2016.

Ich entwerfe Systeme, die unter Audit-Druck und im Betrieb standhalten: hochverfügbare Zahlungsinfrastruktur, FIPS 140-2-konforme HSM-Deployments und enterprise-weite Automatisierungsplattformen. Controls direkt gegenüber PCI-QSA- und SOC-Prüfern präsentiert; architektonische Remediation auf Basis von Findings eigenständig umgesetzt.

Verfügbar für Principal-Architektur-Stellen oder senior freiberufliche Projektengagements in Fintech, Banking und regulierter Infrastruktur.

Experience
Berufserfahrung
Early Warning Services LLC — operator of Zelle® & PAZE™  ·  07/2011 – present  ·  fully remote since 2016

Principal Linux Engineer

Linux Administrator → Senior Systems Engineer → Principal Linux Engineer
Linux Administrator → Senior Systems Engineer → Principal Linux Engineer
  • End-to-end architectural ownership of high-availability IBM WebSphere MQ infrastructure for mission-critical payment workflows: DRBD/LVM/Pacemaker node-local HA with floating IP, predating IBM's own supported equivalent; site-to-site redundancy via geographically separated MQ clusters.
  • Designed an enterprise MQ message router with multi-input/multi-output architecture — consolidated MQ infrastructure by over 50% while increasing resilience and eliminating DR failover during routine operations.
  • Primary technical contact for PCI-QSA and SOC auditors across multiple assessment cycles for the encryption at rest domain; presented controls and evidence directly to auditors and independently designed architectural remediation for findings.
  • Designed and implemented FIPS 140-2 Level 3-compliant HSM infrastructure in a legacy environment without extended maintenance windows, closing a recurring audit finding and enabling the business to pass a PCI audit that had been at risk.
  • Integrated Thales CipherTrust HSMs into encryption appliances; designed the PED key access control model — adopted as the company-wide standard for cryptographic operations.
  • Designed a fully automated Ansible-driven bare-metal provisioning pipeline — IPMI discovery, dynamic PXE, IPAM integration, Kickstart bootstrap, and full Ansible post-configuration — reducing build times from multiple days to ~2 hours.
  • Full architecture ownership for the company-wide Ansible Automation Platform rollout: hub/controller topology, enterprise automation standards, VP-level business case approval; platform manages 3,000+ hosts.
  • Vollständige Architekturverantwortung für hochverfügbare IBM WebSphere MQ-Infrastruktur: DRBD/LVM/Pacemaker-HA mit Floating IP — vor IBM's eigenem unterstütztem Äquivalent; Site-to-Site-Redundanz über geografisch getrennte MQ-Cluster.
  • Entwurf eines Enterprise-MQ-Message-Routers mit Multi-Input/Multi-Output-Architektur — Infrastruktur um über 50 % konsolidiert, Resilienz erhöht, DR-Failover bei Routinebetrieb eliminiert.
  • Primärer technischer Ansprechpartner für PCI-QSA- und SOC-Prüfer im Bereich Verschlüsselung ruhender Daten; direkte Präsentation von Controls und eigenständige architektonische Remediation bei Findings.
  • FIPS 140-2 Level 3-konforme HSM-Infrastruktur in Legacy-Umgebung ohne erweiterte Wartungsfenster implementiert — wiederkehrendes Audit-Finding geschlossen.
  • Thales CipherTrust HSMs integriert; PED-Schlüsselzugriffsmodell entworfen — als unternehmensweiter Standard für kryptographische Operationen eingeführt.
  • Vollautomatisierte Ansible-basierte Bare-Metal-Provisionierungspipeline — Build-Zeiten von mehreren Tagen auf ca. 2 Stunden reduziert.
  • Architekturverantwortung für den unternehmensweiten AAP-Rollout; Plattform verwaltet über 3.000 Hosts.
Independent Consultant / Systems ArchitectUnabhängiger Berater / Systemarchitekt  ·  2006 – 2011

IT Architect & Systems Engineer

IT-Architekt & Systemingenieur

  • Designed and implemented Linux-based DMZ infrastructure for Chamness Relocation Services: VPN ingress, LAMP stack, hardened firewall architecture, and complete handoff documentation.
  • Designed and operated highly available Linux infrastructures for mid-size business clients; delivered project-based architecture engagements.
  • Technical escalation point for multiple IT consultants across the Phoenix Metro area for Active Directory issues including failed Windows SBS swing migrations.
  • Linux-basierte DMZ-Infrastruktur für Chamness Relocation Services: VPN-Ingress, LAMP-Stack, gehärtete Firewall-Architektur und vollständige Übergabedokumentation.
  • Hochverfügbare Linux-Infrastrukturen für mittelständische Kunden konzipiert und betrieben; projektbasierte Architekturengagements.
  • Technischer Eskalationspunkt für IT-Berater im Großraum Phoenix für Active Directory-Probleme.
Technical Skills
Technische Kenntnisse
Messaging & Payments
Messaging & Zahlungsverkehr
IBM WebSphere MQ — HA architecture, multi-instance/clustering, message routing, topic subscriptions
Compliance & Audit
Compliance & Audit
PCI-DSS, SOC 1/2 — direct auditor presentation, evidence management, independent remediation; DORA framework awareness
PCI-DSS, SOC 1/2 — direkte Auditorpräsentation, Nachweisführung, eigenständige Remediation; DORA-Framework-Kenntnisse
Cryptography
Kryptographie
Thales CipherTrust, HSM integration, PED key management, FIPS 140-2 Level 3, encryption at rest
Platform & HA
Plattform & HA
Linux (RHEL/CentOS), Pacemaker, Corosync, DRBD, KVM, bare-metal & VM infrastructure, ZFS
Automation
Automatisierung
Ansible Automation Platform (AAP), Ansible, platform governance, enterprise standards
Ansible Automation Platform (AAP), Ansible, Plattform-Governance, Enterprise-Standards
Containers & Cloud
Container & Cloud
Docker, AWS (working knowledge), Kubernetes (conceptual / growing hands-on)
Docker, AWS (Anwenderkenntnisse), Kubernetes (konzeptionell / wachsende Praxiserfahrung)
Networking & Security
Netzwerk & Sicherheit
Shorewall/iptables, network segmentation, PKI, firewall architecture
Shorewall/iptables, Netzwerksegmentierung, PKI, Firewall-Architektur
Toolchain
Git, CI/CD pipelines, ITSM integration, secrets management
Git, CI/CD-Pipelines, ITSM-Integration, Secrets Management
Personal Projects
Eigenprojekte
est. 2003 — ongoing
seit 2003 — laufend

pfingstmann.com — Self-Hosted InfrastructureSelbstgehostete Infrastruktur

Personal infrastructure platform on a leased dedicated server, architected like production: workloads separated across purpose-specific KVM virtual machines, network segmentation enforced via Shorewall (iptables) with defined internal boundaries between components.

Persönliche Infrastrukturplattform auf einem gemieteten dedizierten Server, architektonisch wie Produktionsinfrastruktur aufgebaut: Workloads auf zweckspezifische KVM-VMs aufgeteilt, Netzwerksegmentierung via Shorewall (iptables).

Services include Mailcow (Postfix/Dovecot), Nextcloud, self-hosted Bitwarden, and Jellyfin with hardware-accelerated transcoding. ZFS storage throughout. Centralised monitoring with custom alerting and severity routing. Ansible for configuration management and automation.

Dienste: Mailcow (Postfix/Dovecot), Nextcloud, selbstgehostetes Bitwarden, Jellyfin mit hardwarebeschleunigter Transkodierung. ZFS-Speicher, zentralisiertes Monitoring, Ansible für Automatisierung.

KVMDockerMailcow NextcloudBitwardenJellyfin ZFSShorewallAnsible
est. 2001 — ongoing
seit 2001 — laufend

Personal Anime Archive

Persönliches Anime-Archiv

Curator and administrator of a community anime collection originally hosted in 2001 over a 1.5 Mbit wireless connection. Served as Vice President of the University of the Anime Otaku (UAO), a DeVry-affiliated club running bi-weekly screening events with co-owned hardware infrastructure.

Kurator und Administrator einer Community-Anime-Sammlung, ursprünglich 2001 über 1,5-Mbit-WLAN gehostet. Vizepräsident der University of the Anime Otaku (UAO), DeVry-affiliierter Verein mit regelmäßigen Vorführungen.

Collection transitioned to personal stewardship after the club dissolved; continuously maintained and expanded since. Data migrated across multiple storage generations over 20+ years, currently on ZFS with LTO tape archival.

Nach Vereinsauflösung in persönliche Obhut übernommen; seitdem kontinuierlich gepflegt. Daten über mehrere Speichergenerationen migriert, derzeit auf ZFS mit LTO-Bandsicherung.

ZFSLTO archivalArchivierung long-term preservationLangzeiterhaltung
Education & Certifications
Ausbildung & Zertifizierungen
Red Hat Certified Specialist in Security: Linux (EX415)
in progress
in Vorbereitung
AWS Certified Cloud Practitioner (CLF-C01)
2022 · lapsed
2022 · abgelaufen
Associate of Occupational Sciences — Computer Network Systems
Associate of Occupational Sciences — Computernetzwerksysteme
High-Tech Institute, Phoenix AZ · 2001
Interests
Interessen
🎌
Anime & Japan
Longstanding anime enthusiast spanning collecting, archiving, and community involvement. Regular travel to Japan (Tokyo, Osaka, Gunma) every two years since 2017.
Langjährige Anime-Begeisterung: Sammeln, Archivieren und Community-Engagement. Japanreisen (Tokio, Osaka, Gunma) alle zwei Jahre seit 2017.
💾
Retro Computing
Retrocomputing
Amiga hardware collector and restorer — several Amiga 1200s in various states of modernisation and an Amiga 4000. Flux reading/writing technology for floppy disk preservation.
Amiga-Sammler und -Restaurateur — mehrere Amiga 1200 sowie ein Amiga 4000. Flux-Lese-/Schreibtechnologie zur Disketten-Erhaltung.
🐕
Working Dogs
Arbeitshunde
Herding breed canine companions since 2008. Currently Knox, a Belgian Malinois (b. 2024).
Hütehunde als Begleiter seit 2008. Aktuell Knox, ein Belgischer Malinois (geb. 2024).
🖥️
Self-Hosting
Self-Hosting
Running personal infrastructure since 2003. Data sovereignty, long-term archival, and the satisfaction of owning your own stack.
Persönliche Infrastruktur seit 2003. Datensouveränität, Langzeitarchivierung und die Überzeugung, den eigenen Stack zu besitzen.