Przetwarzanie w chmurze nie musi prowadzić do obniżenia standardów ochrony danych w porównaniu z konwencjonalnymi rozwiązaniami. Wiele jednak zależy od rozwagi samych zleceniodawców – w tym od kroków podjętych na długo przed faktycznym skorzystaniem z Cloud Computing oraz od tego, co zagwarantują sobie w umowie.
Poniżej znajduje się druga część zaleceń dotyczących Cloud Copmuting. Pochodzą one z tzw. Memorandum z Sopotu. Jest to zbiór rad opracowanych przed ekspertów z całego świata, zajmujących się ochroną i przetwarzaniem danych.
W trakcie przekazywania danych należy stosować szyfrowanie typu end-to-end oraz zabezpieczyć informacje przed różnymi rodzajami ataków – aktywnymi (np. podszywanie czy wstrzyknięcie obciążenia) oraz pasywnymi (np. podsłuchiwanie). Z kolei nieuprawniony dostęp do danych znajdujących się w spoczynku powinien być ograniczony przez rozwiązania techniczne i organizacyjne (m.in. kontrolę dostępu i szyfrowanie).
Dane osobowe w spoczynku oraz w tranzycie powinny być szyfrowane przy użyciu uznanych, standardowych algorytmów oraz kluczy odpowiedniej długości. Klucze szyfrowania mogą być dostępne i stosowane wyłącznie przez administratora danych oraz dostawcę usług Cloud Computing.
Administratorzy powinni upewnić się, czy usunięcie danych osobowych z dysków i innych nośników było skuteczne (tj. nastąpiło poprzez natychmiastowe nadpisanie losowych danych).
eczne byłoby również posiadanie przez administratorów możliwości skutecznego oraz szybkiego odcięcia dostawcy Cloud Computing (czy jego podwykonawców) od deszyfrowania danych w obliczu zaistnienia takiej potrzeby. Można też rozważyć zabezpieczenie dostępu to przynajmniej jednej używalnej kopii danych poza kontrolą i zasięgiem wpływu dostawcy usług w chmurze (i jego pod-przetwarzających).
