Wymogi dotyczące audytu i zgodności stają się krytyczne w każdej relacji outsourcingu i to samo dotyczy również chmury. Liczne ustawy federalne, prawa stanowe i powiązane przepisy, takie jak ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) oraz ustawa Gramm-Leach-Bliley (GLBA), nakładają na firmy obowiązek zapewnienia ochrony danych osobowych i środków bezpieczeństwa . Przestrzeganie tych praw i przepisów pomaga w budowaniu zaufania dla końcowych użytkowników usług. Istnieją normy, takie jak standardy bezpieczeństwa danych w branży kart płatniczych (PCI DSS), a ISO 27001 nakłada na usługodawcę obowiązek przyjęcia określonego poziomu kontroli bezpieczeństwa. Klienci korzystający z chmury w środowisku chmury obsługującej wielu dzierżawców mogą mieć różne typy zgodności i wymagania prawne. Indywidualne spełnienie wszystkich wymagań staje się wyzwaniem dla dostawców usług CSP. Istnieją również problemy z podawaniem szczegółów kontroli bezpieczeństwa i informacji związanych z audytem indywidualnym klientom i ich audytorom zewnętrznym (TPA), ponieważ współdzielone zasoby chmury zawierają również informacje o innych klientach. Wiele przepisów ogranicza przesyłanie danych poza granice kraju. W zależności od kraju i obowiązujących przepisów, dostawca chmury musi kontrolować przepływ danych, przechowywanie i tworzenie kopii zapasowych