Conformément à la norme ISO 27001, tout le personnel VMware doit suivre la formation annuelle de sensibilisation à la sécurité. Le personnel prenant en charge les services gérés VMware doit suivre une formation supplémentaire de sécurité basée sur les rôles pour effectuer les tâches qui leur sont confiées en toute sécurité. Des audits de conformité sont régulièrement effectués pour s'assurer que les employés comprennent et suivent les stratégies établies. Tous les employés VMware doivent signer des contrats de confidentialité lors de leur intégration. En outre, une fois les candidats recrutés, ils doivent lire et accepter la stratégie d'utilisation acceptable et les règles de déontologie professionnelle VMware.
Un système de gestion d'apprentissage en entreprise est utilisé pour faciliter la livraison de programmes de formation VMware, notamment la formation annuelle de sensibilisation à la sécurité, qui est requise pour accéder à des systèmes sensibles, tels que des stations de travail de développeur et le déploiement de production. Tout le personnel disposant d'un accès aux services VMware doit suivre la formation annuelle de sensibilisation à la sécurité référencée. Les outils utilisés pour l'enregistrement de la réussite de la formation requise et des rapports d'achèvement sont examinés au cours des réunions de vérification ISMS.
Le personnel ayant accès à l'environnement de production reçoit une formation supplémentaire, qui est terminée avant d'autoriser l'accès aux systèmes de production. Tous les employés VMware doivent signer des contrats d'embauche pour s'assurer que les informations sur le client et le locataire restent confidentielles. VMware examine les stratégies applicables à des intervalles planifiés. Les privilèges d'accès aux systèmes sont supprimés lorsqu'un employé quitte l'entreprise. Les privilèges d'accès des employés qui changent de rôle dans l'organisation sont modifiés en fonction de leur nouvelle position. Après cessation de leur contrat de travail, les employés doivent rendre les ressources.
Les rôles et responsabilités des prestataires, des employés et des utilisateurs tiers sont documentés, car ils sont liés aux ressources et à la sécurité des informations. Les conditions d'utilisation des services VMware Cloud, les descriptions de services, les addenda de confidentialité et les documents de service définissent une démarcation claire entre les responsabilités du client et de VMware.
L'addenda de traitement des données VMware, la déclaration de confidentialité et les conditions de service fournissent aux clients des informations sur le type de données d'utilisation collectées lors de l'utilisation du service. Cela inclut des données telles que des informations sur la quantité de ressources informatiques et de stockage achetées ou consommées, le nombre d'utilisateurs nommés et les licences tierces consommées.
VMware ne propose pas d'option permettant aux locataires d'interdire l'accès à leurs données ou métadonnées au moyen de technologies d'inspection. Le type de données collectées par VMware est indiqué dans le contrat de confidentialité des données et les méthodes d'utilisation des données par VMware sont clairement mentionnées et librement accessibles sur le site Web de VMware. La collecte des types de données spécifiés est nécessaire pour permettre à VMware de fournir les services mentionnés dans la description de ces derniers.