Gemäß der Norm ISO 27001 müssen alle VMware-Mitarbeiter die jährliche Schulung zur Sensibilisierung für das Thema Sicherheit absolvieren. Mitarbeiter, die Unterstützung für die von VMware verwalteten Dienste leisten, müssen zusätzliche rollenbasierte Sicherheitsschulungen absolvieren, damit sie ihre beruflichen Aufgaben sicher erledigen können. Es werden in regelmäßigen Abständen Konformitätsprüfungen durchgeführt, um sicherzustellen, dass die Mitarbeiter die festgelegten Richtlinien verstehen und einhalten. Alle VMware-Mitarbeiter müssen beim Onboarding die Vertraulichkeitsvereinbarungen unterzeichnen. Nach ihrer Einstellung müssen sie außerdem die Nutzungsrichtlinien und den VMware-Verhaltenskodex lesen und akzeptieren.

Eine unternehmenseigene Lernplattform vereinfacht die Bereitstellung der VMware-Schulungsprogramme. Dazu gehört auch die jährliche Schulung zur Sensibilisierung für das Thema Sicherheit, die für den Zugriff auf sensible Systeme wie Entwickler-Workstations und Bereitstellungen in der Produktion erforderlich ist. Alle Mitarbeiter, die auf VMware-Dienste zugreifen, müssen die bereits erwähnte jährliche Schulung zur Sensibilisierung für das Thema Sicherheit absolvieren. Die zur Erfassung des erfolgreichen Abschlusses der erforderlichen Schulungen sowie der Abschlussberichte verwendeten Tools werden im Rahmen der ISMS-Prüfbesprechungen überprüft.

Mitarbeiter, die auf die Produktionsumgebung zugreifen können, erhalten zusätzliche Schulungen, die vor der Autorisierung des Zugriffs auf Produktionssysteme absolviert werden. Alle VMware-Mitarbeiter müssen Arbeitsvereinbarungen unterschreiben, um die vertrauliche Behandlung der Kunden- und Mandanteninformationen sicherzustellen. VMware überprüft die entsprechenden Richtlinien in geplanten Zeitintervallen. Wenn ein Mitarbeiter das Unternehmen verlässt, werden seine Zugriffsrechte für Systeme entfernt. Bei Mitarbeitern, die innerhalb der Organisation eine andere Rolle einnehmen, werden die Zugriffsrechte entsprechend ihrer neuen Position geändert. Ausscheidende Mitarbeiter müssen die Assets zurückgeben.

Rollen und Zuständigkeiten von Auftragnehmern, Mitarbeitern und Drittanbietern werden dokumentiert, da sie sich auf Informations-Assets und -sicherheit beziehen. Die Nutzungsbedingungen, Dienstbeschreibungen, Zusätze zum Datenschutz und Dienstdokumentationen für VMware Cloud Services legen eine klare Abgrenzung zwischen den Zuständigkeiten des Kunden und von VMware fest.

Im Zusatz zur Datenverarbeitung, in der Datenschutzrichtlinie und in den Nutzungsbedingungen von VMware finden die Kunden Informationen über die Art der während der Nutzung des Dienstes erfassten Nutzungsdaten. Zu diesen Daten gehören z. B. Informationen zur Menge der erworbenen oder verbrauchten Computing- und Speicherressourcen, zur Anzahl der benannten Benutzer und zu den verbrauchten Drittanbieterlizenzen.

VMware bietet Mandanten keine Möglichkeit, den durch Prüftechnologien erfolgenden Zugriff auf ihre Daten oder Metadaten zu beenden. Die Art der von VMware erfassten Daten wird in der Datenschutzrichtlinie erläutert. Welche Methoden VMware für die Verwendung der Daten einsetzt, ist auf der VMware-Website öffentlich verfügbar und dort eindeutig angegeben. VMware muss die angegebenen Datentypen erfassen, um die in der Dienstbeschreibung erwähnten Dienste bereitstellen zu können.