W praktyce zgodność z przepisami jest ustalonym mechanizmem zapewniającym poziom zaufania do bezpieczeństwa informacji. Zgodność oznacza ustalenie zasad, procedur i kontroli w celu spełnienia wymagań normy dostarczonej przez władze. Istnieją przepisy, które obejmują wiele dziedzin, od zarządzania i własności po bezpieczeństwo i prywatność, na przykład ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) w zakresie danych zdrowotnych, standardy bezpieczeństwa danych w branży kart płatniczych (PCI DSS) dla kart płatniczych oraz Sarbanes-Oxley Act (SOX) do odtwarzania po awarii. Przetwarzanie w chmurze komplikuje jednak sytuację w zakresie zgodności z przepisami. Dane w chmurze są replikowane w różnych miejscach, które mogą być oddalone od siebie geograficznie i fizycznie. To potencjalnie wprowadza bardzo trudną sytuację w których te same dane mogą wymagać zgodności z różnymi przepisami, co w skrajnych przypadkach może się różnić. W związku z tym klient musi upewnić się, że albo dane są zlokalizowane zgodnie z prawem, albo nie ma takiej kolizji przepisów. Przy ocenie zaufania należy wziąć pod uwagę przejrzystość i elastyczność CSP w tym względzie. Dostawca usług kryptograficznych może również wykorzystywać zasoby od innych dostawców usług CSP lub zlecać im podwykonawstwo, na przykład dostawcy SaaS korzystającego z zasobów dostawcy IaaS. W takim przypadku musi być ubezpieczona zgodność wszystkich takich dostawców w łańcuchu. Ciężar zgodności z przepisami, jak stwierdził Arshad ], spoczywa na kliencie, a zatem w obliczeniach zaufania za bardziej odpowiedzialny zostanie uznany CSP, który jest przejrzysty dla klienta w zakresie sposobu postępowania z jego danymi. Niektóre rozwiązania problemu zgodności z przepisami zostały zaproponowane w literaturze, na przykład przetwarzanie w chmurze zgodne z przepisami (RC3) [28]. RC3 proponuje najpierw sklasyfikować dane klienta na dane wrażliwe i niewrażliwe, a następnie dane wrażliwe są przetwarzane i przechowywane w strefach regulowanych, a dane niewrażliwe mogą być przechowywane w innym miejscu. Strefy regulowane mogą znajdować się na granicy klienta (prywatna chmura) lub w zaufanej, zgodnej chmurze publicznej. Szereg innych opracowań proponuje przechowywanie w chmurze tylko zaszyfrowanych danych i pracę nad tymi zaszyfrowanymi danymi w celu rozwiązania problemu zgodności. Szyfrowanie danych przed zapisaniem nie jest dużym problemem; jednak agregowanie, wysyłanie zapytań i stosowanie innych operacji na danych kryptograficznych nie jest łatwe i wiąże się z dużym narzutem.