LALIGA
INSTITUCIONAL

LALIGA CON
EL DEPORTE

DÓNDE VER
LALIGA

LALIGA
GROUP

LALIGA INSTITUCIONAL

Transparencia

Sala de prensa

FUNDACIÓN LALIGA

Patrocinadores

Derechos audiovisuales

LALIGA Business school

Trabaja con nosotros

Trabaja con clubes

LALIGA CON EL DEPORTE

Aficiones Unidas

LALIGA FC Futures

LALIGA Grassroots

Otras competiciones

LALIGA Group

Transparencia

LALIGA EA SPORTS

LALIGA HYPERMOTION

LIGA F Moeve

LALIGA Genuine Moeve

Estadísticas

Vídeos

Noticias

Fotogalerías

Apps & Juegos

LALIGA Tv

Zona Fans

Acreditaciones

Trabaja con nosotros

Trabaja con clubes

Información legal

Política de cookies

Política de privacidad

Denuncias

Mapa web

© 2025 LaLiga

InicioInformación legal

Información legal

1. Introducción y Objeto

LALIGA Group International, S.L. (en adelante, "LALIGA") está comprometida con la seguridad de la información de sus productos y servicios y, por tanto, la considera como una de sus prioridades.

De la misma forma, respeta y aprecia el trabajo de los expertos e investigadores en ciberseguridad que cooperan para notificar responsablemente vulnerabilidades de seguridad con el objetivo de que puedan ser solucionadas diligentemente.

Por estos motivos, LALIGA proporciona soporte a aquellas personas que deseen notificar vulnerabilidades de seguridad que hayan detectado a través de la presente Política de Reporte de Vulnerabilidades (en adelante, la "Política").

Este documento define el alcance, los términos y condiciones, así como el procedimiento de reporte de vulnerabilidades por parte de expertos e investigadores en ciberseguridad ajenos a LALIGA.


2. Alcance

El alcance de la Política incluye todas las aplicaciones web o móviles que sean propiedad de LALIGA y que enlacen a la misma.

No obstante, cualquier componente software, librería o kit de desarrollo de software (SDK) ajeno a LALIGA se considera expresamente fuera del alcance, a pesar de que forme parte integral de dichas aplicaciones.


3. Términos y Condiciones

Atendiendo a la definición de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), la Política considera que una vulnerabilidad es una debilidad o un error de diseño o implementación que puede desembocar en un evento que comprometa la seguridad de un dispositivo, sistema operativo, red, programa o de un protocolo envuelto en cualquiera de los anteriores.

Considerando lo anterior, LALIGA se compromete a lo siguiente:

  • Investigar diligentemente los reportes de vulnerabilidades recibidos.
  • Realizar esfuerzos razonables para solucionar sin dilación innecesaria los fallos de seguridad que confirme.
  • No emprender acciones legales contra los expertos o investigadores en ciberseguridad que cumplan con la Política.

Por su parte, los expertos o investigadores en ciberseguridad deben cumplir con lo siguiente:

  • Actuar de buena fe.
  • Cumplir con las leyes y normativas aplicables.
  • Notificar las vulnerabilidades tan pronto como les sea posible.
  • No aprovechar la vulnerabilidad o su explotación para beneficio propio o de terceros.
  • No hacer pública ni compartir con terceros ninguna vulnerabilidad sin el consentimiento expreso y por escrito de LALIGA.
  • No realizar acciones o manifestaciones que puedan afectar negativamente a LALIGA o a su reputación.
  • No acceder, comprometer, alterar o destruir datos, sistemas o servicios que no sean de su propiedad.
  • No interrumpir o degradar servicios, sistemas y aplicaciones de LALIGA.
  • No utilizar escáneres automatizados de vulnerabilidades.
  • No emplear técnicas de ingeniería social, spam, phishing, fuerza bruta, instalación de malware, denegación de servicio o físicas.

4. Procedimiento de notificación

En caso de que un experto o investigador en ciberseguridad descubra una vulnerabilidad de seguridad dentro del alcance definido, ésta puede ser notificada en inglés o en español a la dirección de correo electrónico cvd[@]laliga[.]es, aportando la siguiente información sobre la misma:

  • Aplicación y versión afectada.
  • Tipo, resumen de alto nivel e impacto potencial.
  • Detalles técnicos y evidencias.
  • Pasos para reproducirla y/o una prueba de concepto (PoC).

Adicionalmente, también puede ser notificada al Centro de respuesta a incidentes de seguridad de referencia para ciudadanos y entidades de derecho privado en España (INCIBE-CERT), siguiendo su política de reporte de vulnerabilidades.