企業被令人擔憂的不斷增長的合規要求所包圍，從SOX法案、PCI DSS標準到HIPAA法案/HITECH法案(Health Information Technology for Economic and Clinical Health )以及聯邦貿易委員會(FTC)的紅旗準則(Red Flags Rules)。同時，隨著可供選擇的云服務提供商的數量不斷增長，企業有許多的選擇權，當然有關云計算合規遵從也有許多需要考慮的問題。

　　盡管遷移服務到云上可能會有很多好處，但這也沒有免除企業的某些責任。值得注意的是，企業仍然被要求遵從各式各樣的合規和法律，似乎服務仍然位于公司的內部。

　　在一些情形下，正如PCI DSS標準那樣，有一個明顯的趨勢是通過外包某些服務來減少公司的合規遵從范圍。值得注意的是，通過大規模地外包信用卡處理流程給某個第三方提供商，公司的PCI范圍會顯著地縮小(盡管沒有完全地消失)。不過，聯邦貿易委員會的紅旗規則情況不是這樣，因為聯盟貿易委員會強制要求任何外包的服務必須保持和企業內部實施情形下同等或更好的安全水平。

　　當你開始評估遷移服務到云時，考慮幾個云計算合規遵從的問題十分重要：

　　1.遷移到云的數據是否會在任何合規或相關要求之下?這些數據包括如個人可識別信息(PII)、個人健康信息(PHI)或公司財務相關的信息。

　　2. 如果這些問題一的答案是肯定的話，那么它在哪些合規要求的管轄之下以及需要什么控制措施?

　　3. 云服務提供商是否真的能提供你組織數據所要求的認可的或等同的控制?

　　4. 云服務提供商是否有必要的策略、流程和規程來正確地維護這些控制?

　　5. 供應商是否具備恰當的災備恢復和業務持續性過程來滿足你的組織的業務需要?

　　6. 如果云服務提供商破產會發生什么?企業的數據會被當作提供商的資產賣給債權人或進行拍賣嗎?

　　7. 如果我決定更換服務提供商，是否容易使用可用的格式導出我的數據?

　　8. 供應商是否愿意修改它默認的服務條款以便保證或者提供圍繞第3至第7個問題的服務級別協議(SLA)?

　　***一個問題特別重要，因為許多云服務提供商拒絕簽署默認合同以外的內容。這樣一來，就把他們排除在數據相關服務的潛在合規遵從服務商之外了。好幾個合作要求，如最為人關注的HIPAA/HITECH法案及聯盟貿易委員會的準則，特別要求企業必須和它的服務提供商簽署合同要求恰當的控制、流程和規程來與每個合規的指導要求保持一致。

　　類似地，如果提供商無法滿足第3至第7個問題，應該把它們從你組織的業務考慮列表上刪掉。無法滿足要求是個問題，特別當面對PCI DSS標準和HIPAA/HITECH法案時。這樣一來，你會很快地發現可供選擇的云服務提供商是有效的，至少在短期來看是這樣。盡管有傳聞好幾個大型的云服務提供商致力于改造它們的系統來滿足這些合規要求。在健康醫療面有少數的云服務提供商已經專門地建立應用來滿足醫療行業的需要，但是我還沒有看到對這些應用的任何安全性評估，從而可以判斷它們的有效性。

　　在此期間，我推薦你給正在評估的提供商發送上述問題，就像你會為任何其它的外包項目發送信息請求(RFI)那樣，選擇滿足你要求的***提供商。

　　如果沒有一家能滿足，評估移除或混淆相關數據的方法(例如在遷移數據到云之前對其進行哈希或者加密)，從而讓你的組織仍能從云獲得業務回報。