企业必须符合广泛的且不断变化的规则清单，处在高度管制行业的企业更是如此。如果公司的信息安全策略和IT系统没有遵守这些方针政策，那么，企业将面临罚款和其他处罚。 金融服务和医疗保健等行业的规则包括PCI DSS、SOX 、GLBA 、HIPAA和HITECH ，这些规则都提供了有关个人信息处理的具体方针政策。

因为云的出现，合规性进行了新的调整。为了保护企业，企业需要提出正确的问题，而不只是对云计算的合规需求做表面评估。

检查所有规则的更新。合规是一个动态的目标。健康保险流通与责任法（ HIPAA ）经过多次细化，于1996年8月正式通过。报告称合规需求从公司员工扩大到业务伙伴，如任何第三方承包商。因此，公司必须了解如何保证信息的安全以及员工如何使用 。公司还负责了解其合作伙伴的系统是如何设置的，以及如何处理机密信息。

根据信息的重要性排序。并非所有的信息都同等重要。因此，将信息迁移到云之前，企业首先应进行数据评估，并将信息按重要性排序。 例如，公司的地址没有必要像客户地址那样，必须得到保障，因此，维护客户地址更重要。 在某些情况下，组织可以将高度机密的数据永远存储在本地，而不是在公有云中。 对于移动到云中的数据，企业需要与云提供商合作，从而建立健全的程序。

了解数据存储的具体位置。云所面临的一个挑战是其往往设计的模糊不清。信息可以存储在不同的地方，供应商通常也有多个数据中心。 在某些情况下，主要的数据中心可以容纳一个“指针”，而不是记录本身。 了解数据存储的位置至关重要。必须确保采取的数据保护手段能够回答这些问题：谁能够看到这些数据？ 谁来管理数据？ 数据是如何管理的？ 备份过程是怎样的？ 备份数据存储在哪里？ 备份数据如何存储？信息与其他组织的信息是否区分开？

了解有关加密服务的详细信息。了解有关所有云服务，包括加密服务的详细信息，但是加密服务不尽相同。当信息从一个地方转移到另一个地方，保护信息是一个很好的出发点，但这往往是不够的。公司还必须确保数据被有效保护，存储在存储主轴上。 服务级别协议中应包含信息必须被加密的规定。

检查披露政策。全国零售商Target的一个安全漏洞泄露了100多万用户的私人信息。 Target的问题不仅仅在于Target的数据保护系统，还在于：一段时期以来，该公司向公众隐瞒该事件。 了解信息披露政策。有一些规则云供应商和公司都必须遵守。 短暂的延迟期是不可避免的，因为公司试图理清一些问题，如果拖延的话，还会产生合规性问题。