Web Clubes

LALIGA

Institucional

LALIGA

con el deporte

LALIGA

Group

LALIGA

INSTITUCIONAL

LALIGA CON

EL DEPORTE

LALIGA

GROUP

1. Introducción y Objeto

LaLiga Group International, S.L. (en adelante, "LaLiga") está comprometida con la seguridad de la información de sus productos y servicios y, por tanto, la considera como una de sus prioridades.

De la misma forma, respeta y aprecia el trabajo de los expertos e investigadores en ciberseguridad que cooperan para notificar responsablemente vulnerabilidades de seguridad con el objetivo de que puedan ser solucionadas diligentemente.

Por estos motivos, LaLiga proporciona soporte a aquellas personas que deseen notificar vulnerabilidades de seguridad que hayan detectado a través de la presente Política de Reporte de Vulnerabilidades (en adelante, la "Política").

Este documento define el alcance, los términos y condiciones, así como el procedimiento de reporte de vulnerabilidades por parte de expertos e investigadores en ciberseguridad ajenos a LaLiga.


2. Alcance

El alcance de la Política incluye todas las aplicaciones web o móviles que sean propiedad de LaLiga y que enlacen a la misma.

No obstante, cualquier componente software, librería o kit de desarrollo de software (SDK) ajeno a LaLiga se considera expresamente fuera del alcance, a pesar de que forme parte integral de dichas aplicaciones.


3. Términos y Condiciones

Atendiendo a la definición de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), la Política considera que una vulnerabilidad es una debilidad o un error de diseño o implementación que puede desembocar en un evento que comprometa la seguridad de un dispositivo, sistema operativo, red, programa o de un protocolo envuelto en cualquiera de los anteriores.

Considerando lo anterior, LaLiga se compromete a lo siguiente:

  • Investigar diligentemente los reportes de vulnerabilidades recibidos.
  • Realizar esfuerzos razonables para solucionar sin dilación innecesaria los fallos de seguridad que confirme.
  • No emprender acciones legales contra los expertos o investigadores en ciberseguridad que cumplan con la Política.

Por su parte, los expertos o investigadores en ciberseguridad deben cumplir con lo siguiente:

  • Actuar de buena fe.
  • Cumplir con las leyes y normativas aplicables.
  • Notificar las vulnerabilidades tan pronto como les sea posible.
  • No aprovechar la vulnerabilidad o su explotación para beneficio propio o de terceros.
  • No hacer pública ni compartir con terceros ninguna vulnerabilidad sin el consentimiento expreso y por escrito de LaLiga.
  • No realizar acciones o manifestaciones que puedan afectar negativamente a LaLiga o a su reputación.
  • No acceder, comprometer, alterar o destruir datos, sistemas o servicios que no sean de su propiedad.
  • No interrumpir o degradar servicios, sistemas y aplicaciones de LaLiga.
  • No utilizar escáneres automatizados de vulnerabilidades.
  • No emplear técnicas de ingeniería social, spam, phishing, fuerza bruta, instalación de malware, denegación de servicio o físicas.

4. Procedimiento de notificación

En caso de que un experto o investigador en ciberseguridad descubra una vulnerabilidad de seguridad dentro del alcance definido, ésta puede ser notificada en inglés o en español a la dirección de correo electrónico cvd[@]laliga[.]es, aportando la siguiente información sobre la misma:

  • Aplicación y versión afectada.
  • Tipo, resumen de alto nivel e impacto potencial.
  • Detalles técnicos y evidencias.
  • Pasos para reproducirla y/o una prueba de concepto (PoC).

Adicionalmente, también puede ser notificada al Centro de respuesta a incidentes de seguridad de referencia para ciudadanos y entidades de derecho privado en España (INCIBE-CERT), siguiendo su política de reporte de vulnerabilidades.