云服务提供商承担多少责任很大程度上决定于服务的类型。

　　安全厂商Trend Micro公司数据保护组高级总监Todd Thiemann称，在IaaS中，客户经常负责保护中间件和API之上的所有事物，包括应用和操作系统。比如，亚马逊IaaS服务条款中明确规定客户有责任保护放在公共云上的数据。

　　与IaaS形成鲜明对照的是，在软件即服务协议中，提供商通常负责保护云上的任何客户应用和数据。软件即服务通常更适合预算紧张的公司，因为这些预算紧张的公司可以获得更先进的安全技术和资源，而这些通常是他们无法负担的。

　　IBM在线协作服务副总裁Sean Poulley举例称：“IBM的LotusLive 软件即服务解决方案使普通公司拥有了与大型公司和重要企业相同的安全性，因为我们使用了相同的标准和管理。” LotusLive数据中心受到了物理和生物识别控制的保护，其中包括闭路电视。访问控制由IBM的企业级软件Tivoli控制。

　　许多云服务提供商，特别是SaaS厂商认为他们的安全实践和技术给他们带来了竞争优势，所以他并不愿意谈论他们解决安全性的办法。这意味着公司不得不采信厂商们的说辞。这些厂商一直宣传他们的系统是安全和符合规定的。

　　对此，Gartner的分析师Heiser称，：“这些厂商很少调整他们的安全风险评估。他们或许有难以置信的安全措施和强大系统，但是我们并没有证明这一切的办法。”

　　他指出，虽然诸如ISO 27001和SAS 70 Type 2等安全认证提供了一些保证，不过27001只是与云安全有关，当应用在新的技术形式中其是脆弱的。