El Consejo Internacional de Mejores Prácticas de XBRL ha publicado una nueva guía práctica para equipos de TI y seguridad sobre el manejo de paquetes de informes XBRL, el formato de archivo estandarizado utilizado para informes regulatorios y financieros en todo el mundo.
La guía de dos páginas explica por qué existen las extensiones de archivo .xml.xbri y .xbr.xml, qué contienen y por qué bloquearlas puede interrumpir o ralentizar procesos comerciales legítimos, incluyendo la presentación de informes regulatorios obligatorios con plazos estrictos. También abarca las propiedades de seguridad del formato y cómo debe ser un análisis adecuado.
Si su organización envía o recibe informes XBRL, sus pasarelas de correo electrónico y políticas de seguridad deben conocer estas extensiones. La guía le indica exactamente qué hacer.
Comprensión de los informes XBRL, la guía para equipos de TI y seguridad
Contenido
1. Introducción
Los informes XBRL son utilizados por empresas de todo el mundo para cumplir con los requisitos regulatorios y de divulgación, como el Formato Electrónico Único Europeo (ESEF) en la UE, las presentaciones de datos interactivos a través del sistema EDGAR de la SEC de EE. UU. y más de 200 implementaciones de informes adicionales a nivel mundial. Los informes XBRL se distribuyen como paquetes de informes XBRL, un formato estandarizado que contiene todos los archivos que componen el informe, incluidos documentos de respaldo como una taxonomía de extensión, imágenes o fuentes. Existen dos tipos de paquetes de informes XBRL:
- Paquete de informes XBRL en línea (.xbri) – utilizado para informes XBRL en línea que combinan datos legibles por humanos y por máquinas.
- Paquete de informes XBRL no en línea (.xbr) – utilizado para informes xBRL-XML, xBRL-JSON y xBRL-CSV.
La especificación de paquetes de informes XBRL alcanzó el estatus de recomendación en septiembre de 2023, tras el proceso de gobernanza de XBRL International, varios años de desarrollo, pruebas y revisión pública.
La guía ayudará a los equipos de seguridad informática y a los proveedores de software de seguridad a comprender estos paquetes de informes XBRL y los tipos de archivo asociados, su propósito y las consideraciones políticas clave para su manejo seguro y su uso en entornos seguros.
2. Extensiones de archivo distintas
Los paquetes de informes XBRL tienen dos extensiones de archivo — .xbriy .xbr— para distinguir entre diferentes tipos de informes XBRL. Estos archivos son archivos ZIP que contienen el informe empresarial, sus datos y todos los recursos de soporte. Al igual que los archivos de Microsoft Office (por ejemplo, .docx o .xlsx), que también son archivos ZIP que contienen contenido estructurado, los paquetes de informes XBRL siguen un diseño similar. Aunque los paquetes de informes XBRL utilizan el formato ZIP, no son archivos ZIP comunes. Su contenido está estructurado y solo debe abrirse o visualizarse con software XBRL; las herramientas de archivo estándar no reconocen ni exponen automáticamente los archivos internos. Se desaconseja editar manualmente los paquetes de informes XBRL fuera del software certificado XBRL, ya que podría invalidar el paquete. Puede encontrar una lista de software certificado para la creación y el consumo de XBRL.
Las extensiones distintivas ayudan a los usuarios y a los sistemas a reconocer fácilmente el tipo de archivo y evitan que los usuarios modifiquen su contenido. Este enfoque también resuelve un problema común con .ziplos archivos tradicionales, donde los usuarios podían abrir, modificar e invalidar involuntariamente el paquete de informes.
3. Permitir extensiones de archivo
Las extensiones .xbride .xbrarchivo utilizadas por los paquetes de informes XBRL pueden resultar desconocidas para los sistemas informáticos corporativos. En algunos casos, estos tipos de archivo pueden estar bloqueados por la configuración de seguridad predeterminada, lo que impide compartirlos por correo electrónico o redes corporativas. Estas restricciones pueden interrumpir procesos empresariales esenciales, como la presentación de informes regulatorios obligatorios, la recepción de información de las partes interesadas y la comunicación regular con bancos, auditores, reguladores y proveedores de software externos involucrados en el proceso de presentación de informes.
4. Estructura de los paquetes de informes
La especificación de paquetes de informes XBRL define una estructura estandarizada para la organización de archivos y carpetas dentro del paquete. Esto garantiza la coherencia en la creación, el intercambio y el procesamiento de informes en diferentes sistemas. La estructura de un paquete puede validarse mediante software compatible con XBRL para confirmar que cumple correctamente con la especificación. Encontrará más detalles sobre la estructura del paquete de informes en la especificación técnica y las preguntas frecuentes sobre la implementación técnica publicadas por XBRL International.
5. Contenido de los paquetes de informes
Un paquete de informe XBRL en línea (.xbriextensión) contiene un archivo HTML o XHTML que representa el informe XBRL en línea. El paquete también puede incluir recursos complementarios como imágenes (en formatos como PNG, JPG, GIF o SVG), fuentes (WOFF, WOFF2 o TTF) y hojas de estilo (CSS), almacenadas como archivos separados dentro del paquete. Estos elementos preservan el diseño, el formato y la accesibilidad del informe.
Un paquete de informe XBRL no en línea (.xbrextensión) generalmente contiene archivos de datos XBRL en formato XML, JSON o CSV.
Los paquetes de informes incluyen archivos JSON que almacenan metadatos sobre la versión del paquete y, en el futuro, detalles de firma digital para mayor autenticidad e integridad. Además, un paquete de informes puede contener archivos XSD y XML que definen una taxonomía de extensión, la cual se utiliza cuando una empresa introduce sus propios conceptos de informes, además de los definidos en la taxonomía base.
XBRL en línea utiliza HTML/XHTML, lo que técnicamente permite que JavaScript muestre los datos XBRL en el navegador web. Sin embargo, para las presentaciones regulatorias, los organismos reguladores suelen prohibir el contenido ejecutable, incluido JavaScript. Los informes XBRL en línea que se presentan a los organismos reguladores deben contener únicamente datos y recursos estáticos, lo que supone un riesgo de incumplimiento si se incluye JavaScript de forma inadvertida en el paquete del informe XBRL.
6. Recomendaciones de Implementación: Perspectiva de Seguridad
Las siguientes medidas ayudan a mantener la seguridad de la información, al tiempo que garantizan que las organizaciones puedan gestionar e intercambiar de forma segura los paquetes de informes XBRL como parte de sus obligaciones regulatorias y de información financiera.
6.1 Recomendaciones para los equipos de seguridad informática
- Agregar a las extensiones permitidas: Incluir .xbriy .xbren la lista de tipos de archivo permitidos de la organización.
- Verifique que las pasarelas de correo electrónico, los cortafuegos, los servidores proxy y otros mecanismos de filtrado no bloqueen estas extensiones, lo que garantiza una transmisión fluida de los paquetes de informes XBRL.
- Actualizar la documentación de políticas: Agregar formatos de paquete de informes XBRL a las políticas de tipos de archivo aceptables y manejo de datos.
- Capacitar al personal de soporte: Informar al personal de la mesa de ayuda y de seguridad de que se trata de archivos comerciales legítimos y estandarizados que se utilizan para presentaciones regulatorias y financieras.
6.2 Recomendaciones para los proveedores de software de seguridad
- Reconocer tipos de archivos: Configure los sistemas de detección para que identifiquen correctamente .xbrilos .xbrinformes XBRL.
- Aplique el análisis estándar: Trate estos paquetes de informes como cualquier otro formato de documento basado en ZIP, aplicando análisis antivirus y de integridad estándar, y asegurándose de que no contengan contenido ejecutable.
- Actualizar las bases de datos de tipos de archivo: Añada estas extensiones a las listas de tipos de archivo de confianza o seguros para evitar bloqueos o cuarentenas innecesarias.
- Permitir .xbri y .xbrarchivar como formatos seguros y estandarizados requeridos para la presentación de informes reglamentarios.
- Trate los paquetes de informes como archivos ZIP normales, aplicando análisis antivirus y de integridad estándar.
- Asegúrese de que las políticas de TI y la capacitación del personal no bloqueen estos informes legítimos.
- Proporcione a los usuarios un software de consumo de informes certificado por XBRL para que puedan abrir dichos informes.