Í umfjöllun um útvistun, kemur fram að skila ber gátlista um útvistun í ský 30 dögum áður en fyrirhugað er að hefja notkun á þjónustunni. Gátlistinn nær til helstu þátta sem þarf að huga að við slíka útvistun. Hann má finna hér í eyðublaðaleit vefsins.
Eftirlitsskyldur aðili þarf að meta áhættu sem hlýst af skýjalausnum, m.a. með hliðsjón af gátlistanum, en gátlistinn fer yfir þá þætti sem huga þarf að við útvistun í skýið. Jafnframt þarf hann að sjá til þess að til staðar séu fullnægjandi öryggisráðstafanir vegna útvistunar í skýið.
Í leiðbeinandi tilmælum nr. 1/2019 um áhættu við rekstur upplýsingakerfa eftirlitsskyldra aðila, er í kafla 3.1 fjallað um skýjaþjónustu, en kafli 3 fjallar um útvistun. Eins hefur Evrópska vátrygginga- og lífeyrisjóðaeftirlitsstofnunin (EIOPA) sem og Evrópska verðbréfaeftirlitsstofnunin (ESMA) gefið út viðmiðunarreglur um útvistun og skýjaþjónustu (EIOPA-BoS-20-002), (ESMA50-164-4285) og Evrópska bankaeftirlitsstofnunin (EBA) hefur gefið út viðmiðunarreglur um útvistun (EBA/GL/2019/02).
Huga þarf sérstaklega að staðsetningu á varðveislu gagnanna, margþátta auðkenningu, dulkóðun, tímalengd, lögsögu og fleiru til að tryggja öryggi þeirrar starfsemi og gagna sem útvistað er í skýið með notkun skýjaþjónustu. Til að mynda þarf að huga að því ef gögn eru varðveitt utan ESB/EES. Þá getur verið erfiðara að nálgast gögnin, eða lög ekki verið sambærileg GDPR reglugerðinni (EU 2016/679) um persónuvernd.
Varðveita verður bókhaldsgögn hér á landi í 7 ár og viðskiptafyrirmæli verðbréfamarkaðar í 5 ár. Gæta þarf að því hver hefur aðgang að upplýsingunum, hvort um dulkóðun sé að ræða, margþátta auðkenningu og lög hvaða lands gildi um skýjaþjónustuna til að tryggja öryggi þeirra gagna sem varðveitt eru í skýinu. Í gátlistanum er farið yfir helstu viðmið sem þarf að gæta að og varða rekstraráhættu vegna skýjaþjónustu í lögum og stjórnvaldsfyrirmælum. Þá þarf eftirlitsskyldur aðili ávallt að geta nálgast sín gögn og tryggt að þau uppfylli lög og reglur sem gilda um þá starfsemi sem hann stundar.
Ef um er að ræða keðjuútvistun þarf að kanna hve löng keðjan er, hvar lögsaga skýjaþjónustunnar/gagnanna er og hvort öryggi gagnanna sé tryggt og hægt að nálgast þau með einföldum hætti. Samkvæmt leiðbeinandi tilmælum nr. 1/2019, tölulið 30, er ekki æskilegt að aðilar keðjuútvisti hýsingu á upplýsingakerfum og gögnum lengra en til fjórða aðila, hvorki að hluta né öllu leyti. Öll ábyrgð varðandi útvistun liggur hjá eftirlitsskylda aðilanum og það á því einnig við um útvistun í skýið.