V případě klasického outsourcingu bývá součástí smlouvy obvykle např. vysvětlení, kde budou data uložena a jakým způsobem bude probíhat jejich replikace. U cloud computingu standardně takové informace vůbec k dispozici nejsou.
Analytička Forresteru Chenxi Wang uvedla pro americký Computerworld, že firmy plánující nasadit nějakou aplikaci v podobě cloud computingu „musí zvážit tyto aspekty: ochranu dat, správu identit, správu zranitelností, fyzické a personální zabezpečení, zabezpečení na úrovni aplikací, schopnost reakcí na incidenty a opatření na ochranu soukromí.“
K tomu se přidružuje celá řada dalších otázek, od čistě technických (jaký systém šifrování používá dodavatel cloudu) až po „byznysové“, například jakým způsobem bude dokumentace dodavatele o tom, co se s daty dělo, přístupná auditorům. Zákazníci by měli požadovat podrobné dohody o odpovědnosti; fakt, že právní ani technické aspekty zde nejsou ještě vyjasněny, může vést k tomu, že jednání mezi zákazníkem a dodavatelem cloudu budou zdlouhavá.