1. Никакого шифрования с помощью пароля! Т.к. никакого пароля в зашифрованном виде на сервере => Только парольный хеш!
2. Никаких сторонних сервисов, включая CRM и подобные => Данные - конфиденциальные!
3. Шифруйте данные с помощью серверного ключа и с помощью встроенных средств шифрования выбранной базы данных.
4. Серверный ключ для дешифровки, обработку конф.данных и хранилище конф.данных - храните на 3-х различных серверах с взаимодействием по API (лучше, с контролем поведенческим фильтром на промежуточных узлах при запросах).
5. При передаче между различными хостингами - используйте свой протокол шифрования (помимо SSH, TLS/SSL).
