De acuerdo con el estándar ISO 27001, todo el personal de VMware debe completar la capacitación anual de concienciación sobre la seguridad. Los empleados que respaldan los servicios administrados de VMware deben completar una capacitación adicional sobre seguridad basada en funciones para realizar su trabajo de forma segura. Periódicamente se realizan auditorías de conformidad para garantizar que los empleados comprenden y siguen las directivas establecidas. Todos los empleados de VMware deben firmar los acuerdos de confidencialidad en el momento de su incorporación. Además, una vez contratados, los empleados deben leer y aceptar la Directiva de uso aceptable y las Directrices de conducta empresarial de VMware.

Se utiliza un sistema de administración de aprendizaje empresarial para facilitar la distribución de los programas de capacitación de VMware, incluida la capacitación anual de concienciación sobre la seguridad, que es necesaria para acceder a sistemas confidenciales, como las estaciones de trabajo de desarrolladores y la implementación de producción. Todo el personal que tenga acceso a los servicios de VMware debe completar dicha capacitación anual de concienciación sobre la seguridad. Las herramientas que se utilizan para registrar que se completaron correctamente los informes de capacitación y finalización requeridos se verifican durante las reuniones de revisión de ISMS.

El personal que tiene acceso al entorno de producción recibe capacitación adicional, que debe completarse antes de autorizar el acceso a los sistemas de producción. Todo el personal de VMware debe firmar los acuerdos de empleo para garantizar la confidencialidad de la información de los clientes y los tenants. VMware revisa las directivas aplicables en períodos planificados. Los privilegios de acceso a los sistemas se quitan cuando un empleado deja de trabajar en la empresa. Los privilegios de acceso de los empleados que cambian de funciones dentro de la organización se modifican de acuerdo con su nueva posición. Los empleados despedidos deben devolver los recursos.

Las funciones y responsabilidades de los contratistas, los empleados y los usuarios externos quedan documentadas, ya que se relacionan con la seguridad y los recursos de información. Los Términos del servicio de VMware Cloud, las descripciones de servicios, los anexos de privacidad y los documentos de servicios establecen una clara demarcación entre las responsabilidades del cliente y de VMware.

El Anexo de procesamiento de datos de VMware, la Política de privacidad y los Términos del servicio ofrecen información a los clientes sobre el tipo de datos de uso recopilados durante el uso del servicio. Esto incluye información sobre la cantidad de recursos informáticos y de almacenamiento adquiridos o utilizados, los recuentos de usuarios designados y las licencias de terceros utilizadas.

VMware no proporciona una opción para que los tenants prohíban el acceso a sus datos o metadatos a través de las tecnologías de inspección. El tipo de datos que VMware recopila se detalla en el acuerdo de privacidad de datos, y los métodos mediante los que VMware utiliza datos se mencionan claramente y están disponibles para el público en el sitio web de VMware. La recopilación de los tipos de datos especificados es necesaria para que VMware ofrezca los servicios que se mencionan en la descripción del servicio.