LALIGA Group International, S.L. (en adelante, "LALIGA") está comprometida con la seguridad de la información de sus productos y servicios y, por tanto, la considera como una de sus prioridades.

De la misma forma, respeta y aprecia el trabajo de los expertos e investigadores en ciberseguridad que cooperan para notificar responsablemente vulnerabilidades de seguridad con el objetivo de que puedan ser solucionadas diligentemente.

Por estos motivos, LALIGA proporciona soporte a aquellas personas que deseen notificar vulnerabilidades de seguridad que hayan detectado a través de la presente Política de Reporte de Vulnerabilidades (en adelante, la "Política").

Este documento define el alcance, los términos y condiciones, así como el procedimiento de reporte de vulnerabilidades por parte de expertos e investigadores en ciberseguridad ajenos a LALIGA.

2. Alcance

El alcance de la Política incluye todas las aplicaciones web o móviles que sean propiedad de LALIGA y que enlacen a la misma.

No obstante, cualquier componente software, librería o kit de desarrollo de software (SDK) ajeno a LALIGA se considera expresamente fuera del alcance, a pesar de que forme parte integral de dichas aplicaciones.

3. Términos y Condiciones

Atendiendo a la definición de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), la Política considera que una vulnerabilidad es una debilidad o un error de diseño o implementación que puede desembocar en un evento que comprometa la seguridad de un dispositivo, sistema operativo, red, programa o de un protocolo envuelto en cualquiera de los anteriores.

Considerando lo anterior, LALIGA se compromete a lo siguiente:

Investigar diligentemente los reportes de vulnerabilidades recibidos.
Realizar esfuerzos razonables para solucionar sin dilación innecesaria los fallos de seguridad que confirme.
No emprender acciones legales contra los expertos o investigadores en ciberseguridad que cumplan con la Política.

Por su parte, los expertos o investigadores en ciberseguridad deben cumplir con lo siguiente:

Actuar de buena fe.
Cumplir con las leyes y normativas aplicables.
Notificar las vulnerabilidades tan pronto como les sea posible.
No aprovechar la vulnerabilidad o su explotación para beneficio propio o de terceros.
No hacer pública ni compartir con terceros ninguna vulnerabilidad sin el consentimiento expreso y por escrito de LALIGA.
No realizar acciones o manifestaciones que puedan afectar negativamente a LALIGA o a su reputación.
No acceder, comprometer, alterar o destruir datos, sistemas o servicios que no sean de su propiedad.
No interrumpir o degradar servicios, sistemas y aplicaciones de LALIGA.
No utilizar escáneres automatizados de vulnerabilidades.
No emplear técnicas de ingeniería social, spam, phishing, fuerza bruta, instalación de malware, denegación de servicio o físicas.

4. Procedimiento de notificación

En caso de que un experto o investigador en ciberseguridad descubra una vulnerabilidad de seguridad dentro del alcance definido, ésta puede ser notificada en inglés o en español a la dirección de correo electrónico cvd[@]laliga[.]es, aportando la siguiente información sobre la misma:

Aplicación y versión afectada.
Tipo, resumen de alto nivel e impacto potencial.
Detalles técnicos y evidencias.
Pasos para reproducirla y/o una prueba de concepto (PoC).

Adicionalmente, también puede ser notificada al Centro de respuesta a incidentes de seguridad de referencia para ciudadanos y entidades de derecho privado en España (INCIBE-CERT), siguiendo su política de reporte de vulnerabilidades.