💼 Management Samenvatting
Blokkeer betaalmethoden volledig - GEEN creditcardopslag + GEEN query (strengste instelling - PCI-DSS compliant).
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Microsoft Edge
Het blokkeren van betaalmethoden in Microsoft Edge is essentieel voor organisaties die moeten voldoen aan PCI-DSS normen. Corporate laptops en werkstations zijn doorgaans niet PCI-DSS gecertificeerd, waardoor het opslaan van creditcardgegevens op deze apparaten een directe schending vormt van PCI-DSS vereisten 3.1 en 3.2. Door zowel opslag als query functionaliteit uit te schakelen, voorkomt de organisatie dat gebruikers creditcards kunnen opslaan en dat websites kunnen detecteren of er betaalmethoden beschikbaar zijn. Deze strengste configuratie garandeert volledige PCI-DSS compliance en elimineert het risico op onbevoegde toegang tot gevoelige betalingsgegevens.
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
Registry-basedRequired Modules:
Implementatie
Het blokkeren van betaalmethoden omvat twee kritieke instellingen: het uitschakelen van het opslaan van betaalgegevens en het uitschakelen van de query functionaliteit. Wanneer beide instellingen zijn uitgeschakeld, kunnen gebruikers geen creditcards opslaan in Edge, kunnen websites niet detecteren of er opgeslagen betaalmethoden beschikbaar zijn, en moeten gebruikers bij elke transactie handmatig hun betalingsgegevens invoeren. Deze aanpak biedt de hoogste mate van beveiliging en compliance voor organisaties die werken met gevoelige financiële gegevens.
Vereisten
Voor het implementeren van het volledig blokkeren van betaalmethoden in Microsoft Edge zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten vormen de basis voor een succesvolle implementatie die voldoet aan PCI-DSS normen en de beveiliging van gevoelige financiële gegevens waarborgt. De primaire technische vereiste is de beschikbaarheid van Microsoft Edge als webbrowser binnen de organisatie. Edge moet geïnstalleerd zijn op alle werkstations waar deze beveiligingsmaatregel van toepassing is. Organisaties moeten ervoor zorgen dat zij een beheerde versie van Edge gebruiken die ondersteuning biedt voor beleidsgebaseerde configuratie via Microsoft Intune of Group Policy Objects (GPO). Een kritieke organisatorische vereiste is de noodzaak om te voldoen aan PCI-DSS compliance normen. Organisaties die werken met creditcardgegevens, betalingsverwerking of financiële transacties moeten voldoen aan de Payment Card Industry Data Security Standard. Deze standaard vereist dat creditcardgegevens niet worden opgeslagen op systemen die niet PCI-DSS gecertificeerd zijn. Bedrijfslaptops, werkstations en andere endpoints zijn doorgaans niet PCI-DSS gecertificeerd, waardoor het blokkeren van betaalmethoden een essentiële beveiligingsmaatregel wordt. Voor de technische implementatie is toegang tot een beheersysteem vereist. Organisaties kunnen kiezen tussen Microsoft Intune voor cloudgebaseerd apparaatbeheer of Group Policy Objects voor on-premises Active Directory omgevingen. Beide systemen bieden de mogelijkheid om Edge-beleid centraal te configureren en te distribueren naar alle beheerde apparaten. De keuze tussen Intune en GPO hangt af van de infrastructuur en het apparaatbeheermodel van de organisatie. Daarnaast is het belangrijk dat de IT-afdeling beschikt over de juiste rechten en toegang tot het beheersysteem. Voor Intune is een licentie voor Microsoft Endpoint Manager vereist, terwijl voor GPO toegang tot de Group Policy Management Console nodig is met voldoende rechten om beleid te maken en toe te wijzen aan organisatorische units. Organisaties moeten ook rekening houden met de impact op gebruikerservaring. Het volledig blokkeren van betaalmethoden betekent dat gebruikers bij elke online transactie handmatig hun betalingsgegevens moeten invoeren. Hoewel dit de beveiliging verhoogt, kan het de gebruikerservaring beïnvloeden. Het is daarom belangrijk om gebruikers vooraf te informeren over deze beveiligingsmaatregel en de achterliggende redenen. Tot slot is documentatie en training een belangrijke vereiste. IT-beheerders moeten getraind zijn in het configureren en monitoren van Edge-beleid, terwijl gebruikers geïnformeerd moeten worden over de nieuwe werkwijze en de beveiligingsvoordelen die dit met zich meebrengt.
Implementatie
De implementatie van het volledig blokkeren van betaalmethoden in Microsoft Edge vereist een gestructureerde aanpak die begint met het identificeren van de juiste beleidsinstellingen en eindigt met verificatie en monitoring. Deze implementatie kan worden uitgevoerd via Microsoft Intune Settings Catalog of via Group Policy Objects, afhankelijk van de infrastructuur van de organisatie. Het succes van de implementatie hangt af van zorgvuldige planning, correcte configuratie en grondige verificatie. Voor organisaties die Microsoft Intune gebruiken voor apparaatbeheer, begint de implementatie met het openen van het Microsoft Endpoint Manager beheercentrum. Dit is de centrale console waar alle apparaatbeheertaken worden uitgevoerd. Vanuit het beheercentrum navigeert de beheerder naar de sectie Devices, selecteert daar Configuration profiles en klikt vervolgens op Create profile om een nieuw configuratieprofiel aan te maken. Het is belangrijk om het juiste platform te selecteren, namelijk Windows 10 and later, en als profieltype te kiezen voor Settings catalog. De Settings catalog biedt toegang tot een uitgebreide verzameling van configureerbare instellingen voor Microsoft Edge en andere Microsoft-producten. Bij het aanmaken van het profiel moet de beheerder een duidelijke en beschrijvende naam opgeven, zoals 'Edge Betaalmethoden Geblokkeerd' of 'Edge Payment Methods Blocked'. Hoewel de interface mogelijk nog Engelstalige termen bevat, helpt een Nederlandse naam in de beschrijving om het doel van het beleid duidelijk te maken voor Nederlandse IT-beheerders. De beschrijving moet uitleggen dat dit beleid zowel het opslaan van betaalgegevens als de query functionaliteit uitschakelt om volledige PCI-DSS compliance te garanderen. In de Settings catalog moet de beheerder vervolgens zoeken naar Edge-specifieke instellingen. Dit kan door te navigeren naar de categorie Microsoft Edge en daar de subcategorie Payment te selecteren. Binnen deze subcategorie zijn twee kritieke instellingen beschikbaar die beide moeten worden geconfigureerd voor volledige blokkering. De eerste instelling heet 'Enable saving and filling payment info' en de tweede instelling is 'Payment Methods query'. Beide instellingen moeten worden ingesteld op 'Disabled' om te garanderen dat gebruikers geen betaalmethoden kunnen opslaan en dat websites niet kunnen detecteren of er opgeslagen betaalmethoden beschikbaar zijn. De eerste instelling, 'Enable saving and filling payment info', is de primaire beveiligingsmaatregel die voorkomt dat gebruikers creditcardgegevens kunnen opslaan in Microsoft Edge. Wanneer deze instelling is uitgeschakeld, verdwijnt de optie om betalingsgegevens op te slaan volledig uit de browser interface. Gebruikers zien geen mogelijkheid meer om nieuwe creditcards toe te voegen aan hun Edge-profiel, en bestaande opgeslagen betaalmethoden worden niet meer gebruikt voor automatisch invullen tijdens online transacties. Dit betekent dat gebruikers bij elke transactie handmatig hun betalingsgegevens moeten invoeren, wat de beveiliging aanzienlijk verhoogt maar wel de gebruikerservaring beïnvloedt. De tweede instelling, 'Payment Methods query', voorkomt dat websites kunnen detecteren of er opgeslagen betaalmethoden beschikbaar zijn op het apparaat. Deze functionaliteit wordt gebruikt door e-commerce websites en online winkelplatforms om te bepalen of zij de optie kunnen tonen om opgeslagen betaalmethoden te gebruiken voor snellere afrekenprocessen. Door deze query functionaliteit uit te schakelen, kunnen websites niet meer detecteren of Microsoft Edge beschikt over opgeslagen betaalmethoden. Dit versterkt niet alleen de privacy, maar voorkomt ook dat websites kunnen afleiden welke betaalmethoden een gebruiker mogelijk heeft, wat een extra beveiligingslaag toevoegt. Na het configureren van beide instellingen, moet het beleid worden toegewezen aan de juiste gebruikersgroepen of apparaten. Organisaties kunnen ervoor kiezen om het beleid toe te wijzen aan alle apparaten binnen de organisatie, aan specifieke beveiligingsgroepen, of aan apparaten met bepaalde tags of labels. Het is belangrijk om de scope zorgvuldig te bepalen, aangezien deze instelling de gebruikerservaring direct beïnvloedt. Voor organisaties die werken met gevoelige financiële gegevens of die moeten voldoen aan strikte PCI-DSS vereisten, is het aan te raden om het beleid toe te passen op alle bedrijfsapparaten. Voor organisaties die Group Policy Objects gebruiken in een on-premises Active Directory omgeving, is het implementatieproces vergelijkbaar maar wordt uitgevoerd via de Group Policy Management Console. Deze console is beschikbaar op domain controllers of op beheerservers waar de Group Policy Management tools zijn geïnstalleerd. De beheerder maakt een nieuw Group Policy Object aan of bewerkt een bestaand GPO, afhankelijk van de organisatorische structuur. Vervolgens navigeert de beheerder naar Computer Configuration of User Configuration, afhankelijk van de gewenste scope van het beleid. Computer Configuration past het beleid toe op het niveau van het apparaat, terwijl User Configuration het beleid toepast op gebruikersniveau. Vanuit Computer Configuration of User Configuration navigeert de beheerder naar Administrative Templates, vervolgens naar Microsoft Edge en uiteindelijk naar de sectie Payment. Hier zijn dezelfde twee instellingen beschikbaar als in Intune: 'Enable saving and filling payment info' en 'Payment Methods query'. Beide instellingen moeten worden geconfigureerd op 'Uitgeschakeld' of 'Disabled' om volledige blokkering te garanderen. Na het configureren van de instellingen moet het GPO worden gekoppeld aan de juiste organisatorische units binnen Active Directory. Na het toepassen van het beleid, ongeacht of dit via Intune of GPO gebeurt, moeten organisaties een testperiode inplannen om te verifiëren dat de instellingen correct worden toegepast. Dit kan worden gedaan door het beleid eerst toe te wijzen aan een kleine testgroep, bijvoorbeeld een specifieke afdeling of een groep IT-medewerkers, voordat het wordt uitgerold naar de volledige organisatie. Tijdens de testperiode moeten IT-beheerders grondig controleren of gebruikers daadwerkelijk geen betaalmethoden meer kunnen opslaan, of de browser interface de optie om betaalgegevens op te slaan niet meer toont, en of websites geen query's meer kunnen uitvoeren om opgeslagen betaalmethoden te detecteren. De implementatie is pas compleet wanneer verificatie heeft aangetoond dat beide instellingen correct zijn toegepast op alle doelapparaten. Organisaties moeten een monitoring proces opzetten om te zorgen dat het beleid actief blijft en niet wordt overschreven door lokale configuraties, andere beleidsregels, of handmatige wijzigingen door gebruikers. Regelmatige audits en compliance checks moeten worden uitgevoerd om te verifiëren dat de beveiligingsmaatregelen nog steeds effectief zijn en dat de organisatie blijft voldoen aan PCI-DSS en andere relevante compliance vereisten.
Compliance
Het volledig blokkeren van betaalmethoden in Microsoft Edge draagt direct bij aan compliance met verschillende belangrijke beveiligingsstandaarden en regelgeving die van toepassing zijn op Nederlandse organisaties. Deze maatregel adresseert specifieke vereisten uit PCI-DSS, de Algemene Verordening Gegevensbescherming (AVG), en de Baseline Informatiebeveiliging Overheid (BIO). De Payment Card Industry Data Security Standard (PCI-DSS) vereist dat organisaties die werken met creditcardgegevens strikte beveiligingsmaatregelen implementeren. Vereiste 3.1 van PCI-DSS stelt dat creditcardgegevens alleen mogen worden opgeslagen wanneer dit absoluut noodzakelijk is voor de bedrijfsvoering, en alleen op systemen die voldoen aan PCI-DSS certificeringseisen. Vereiste 3.2 specificeert dat opgeslagen creditcardgegevens moeten worden beveiligd met sterke encryptie en toegangscontroles. Door betaalmethoden volledig te blokkeren in Edge, voorkomt de organisatie dat creditcardgegevens worden opgeslagen op bedrijfsendpoints die doorgaans niet PCI-DSS gecertificeerd zijn. Dit elimineert het risico op niet-compliance en mogelijke boetes die kunnen oplopen tot honderdduizenden euro's bij een datalek. De Algemene Verordening Gegevensbescherming (AVG) vereist in artikel 32 dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Creditcardgegevens worden beschouwd als bijzondere categorieën van persoonsgegevens die extra bescherming vereisen. Door het blokkeren van betaalmethoden voorkomt de organisatie dat gevoelige financiële gegevens worden opgeslagen op endpoints waar de beveiliging mogelijk niet optimaal is. Dit draagt bij aan het voldoen aan het beginsel van 'data protection by design and by default' zoals vereist in artikel 25 van de AVG. Bovendien vermindert deze maatregel het risico op datalekken, wat kan leiden tot verplichte meldingen aan de Autoriteit Persoonsgegevens en betrokkenen, zoals vereist in artikel 33 en 34 van de AVG. De Baseline Informatiebeveiliging Overheid (BIO) is de Nederlandse beveiligingsstandaard voor overheidsorganisaties. Control 08.01.02 van de BIO vereist dat organisaties maatregelen nemen om gevoelige gegevens te beschermen tegen onbevoegde toegang, wijziging of vernietiging. Het blokkeren van betaalmethoden voorkomt dat creditcardgegevens worden opgeslagen op endpoints die mogelijk kwetsbaar zijn voor aanvallen of die niet voldoen aan de strikte beveiligingseisen die de overheid stelt. Deze maatregel draagt bij aan het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige gegevens, zoals vereist in de BIO. Naast deze primaire compliance vereisten, draagt het blokkeren van betaalmethoden ook bij aan het voldoen aan andere relevante standaarden. ISO 27001, de internationale standaard voor informatiebeveiligingsmanagement, vereist dat organisaties risico's identificeren en beheersmaatregelen implementeren. Het voorkomen van onbevoegde opslag van creditcardgegevens is een concrete beheersmaatregel die het risico op datalekken en financiële fraude vermindert. Voor Nederlandse overheidsorganisaties is compliance met de BIO verplicht, terwijl organisaties in de private sector vaak moeten voldoen aan PCI-DSS wanneer zij betalingsverwerking uitvoeren. De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken, ongeacht of zij publiek of privaat zijn. Door het implementeren van deze maatregel toont de organisatie aan dat zij serieus omgaat met beveiliging en compliance, wat kan bijdragen aan het behalen van certificeringen en het opbouwen van vertrouwen bij stakeholders. Het is belangrijk om te benadrukken dat compliance een continu proces is en niet een eenmalige activiteit. Organisaties moeten regelmatig controleren of de beveiligingsmaatregelen nog steeds effectief zijn en of zij nog steeds voldoen aan de vereisten van de verschillende standaarden. Het monitoren van de Edge-beleidsinstellingen en het verifiëren dat betaalmethoden daadwerkelijk geblokkeerd zijn, vormt een belangrijk onderdeel van dit compliance proces.
Monitoring
Gebruik PowerShell-script payment-methods-query-blocked.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script payment-methods-query-blocked.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 08.01.02 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Payment Methods Query Blocked
.DESCRIPTION
CIS - Payment methods query API moet blocked (privacy).
.NOTES
Filename: payment-methods-query-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\PaymentMethodQueryEnabled|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "PaymentMethodQueryEnabled"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "payment-methods-query-blocked.ps1"; PolicyName = "Payment Methods Query Blocked"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default blocked"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Payment query blocked" }else { $r.Details += "Payment query enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Payment methods query blocked" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Gemiddeld: Creditcardopslag = PCI-DSS schending (niet-compliant omgeving).
Management Samenvatting
Blokkeer Edge betaalmethoden (geen opslag + geen query). PCI-DSS compliance. Corporate apparaten = GEEN creditcards. Implementatie: 1-2 uur.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE