Sämtliche in Canto gespeicherten Daten unterliegen den Sicherheitsvorschriften des HIPAA. Zudem unterzeichnet Canto mit jedem Kunden, der elektronisch geschützte Gesundheitsdaten (electronic protected health information, ePHI) in Canto speichert, eine entsprechende Geschäftspartnervereinbarung (Business Associate Agreement, BAA). Darüber hinaus werden die internen Richtlinien sowie die Sicherheitsmaßnahmen von Canto kontinuierlich überarbeitet, um die Einhaltung der Bestimmungen zu gewährleisten.
Die Einhaltung des HIPAA ist eine gemeinschaftliche Aufgabe. Kunden müssen die branchenüblichen Standards für SaaS-Anwendungen befolgen und Unternehmensrichtlinien durchsetzen, um intern die Anforderungen des HIPAA zu erfüllen.