Im Dach des Cloud-House steht die Multi-Vendor-Cloud Strategie. Die MVCS basiert auf drei Säulen, die die allgemein bekannten Services (IaaS, PaaS, SaaS) des klassischen Cloud Computing darstellen. Je nach Unternehmen können weitere Services aufgeführt werden, wie z.Bsp. Security as a Service, Process as a Service, etc.
Für alle genutzte Services sollten Mindestanforderungen insgesamt und pro Dienstleister definiert werden, um externe sowie interne Erwartungen zu erfüllen. Darüber sollten für die „allgemein bekannten Risiken“ (Sicherheitsrisiken; Compliancerisiken; Vertragsrisiken; Performancerisiken) geeignete Sicherheitsmaßnahmen implementiert werden. Die Sicherheitsmaßnahmen können von Unternehmen zu Unternehmen unterschiedlich ausgestaltet sein. Grundlage für die eingesetzten Sicherheitsmaßnahmen sollte immer die zugrundeliegende Risikoanalyse sein.
Das Fundament besteht aus dem Internen Cloud-Kompetenzteam, das alle Cloud-Anbieter steuert und sicherstellt, dass alle Systeme aufeinander abgestimmt sind. Des Weiteren stellt es ein wirksames Business Continuity Management, unter Berücksichtigung aller Cloud-Anbietern und den internen IT-Services, sicher.