В блоге Azure перечислены пять принципов совместимости с ISO 27018:

• Согласие. CSP не может использовать полученные личные данные для рекламы и маркетинга, иначе как с явного согласия клиента, причем отказ последнего не должен препятствовать ему пользоваться сервисом.
• Контроль. Клиенты имеют полный контроль за использованием их информации.
• Прозрачность. CSPдолжен информировать клиентов о том, где размещены их данные, сообщать о привлечении субконтракторов к обработке PII (Personally Identifiable Information) и четко формулировать извещения о том, как эти данные используются.
• Коммуникации. В случае нарушения безопасности, CSP должен уведомить клиентов и вести исчерпывающее документирование инцидента и принимаемых мер.
• Независимый и ежегодный аудит. Для сохранения совместимости со стандартом, CSP обязан ежегодно проходить аудит с привлечением сторонних независимых организаций.