Sobre el cumplimiento
Estoy muy poco familiarizado con los aspectos específicos de la legislación, pero, según tengo entendido, no hay nada que indique que el cifrado de la base de datos sea necesario para mantener información personal y cumplir con el Reglamento General de Protección de Datos (GDPR).
Por otra parte, el uso de medidas de cifrado adecuadas reducirá de alguna manera el impacto en la privacidad y los requisitos de notificación en caso de que se produzca una infracción.
(3) La comunicación a la persona a la que se hace referencia en el párrafo 1 no será necesaria si se cumple alguna de las siguientes condiciones:
a) el controlador ha implementado medidas de protección técnicas y organizativas adecuadas, y esas medidas se aplicaron a los datos personales afectados por la violación de datos personales, en particular aquellas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder. tal, como el cifrado;
Extracto de: enlace
Sobre los beneficios del cifrado para la seguridad de la base de datos
El cifrado puede reducir significativamente el impacto de una violación de datos. Por ejemplo, en 2015 se violó a Patreon, perdiendo el control de 15 GB de datos. Para su crédito, Patreon utilizó fuertes hash de cifrado para proteger las contraseñas, y había usado medidas de cifrado secundarias para proteger información confidencial como números de Seguro Social e información fiscal.
Si no hubieran cifrado la información, el impacto de la violación, tanto para Patreon como para sus usuarios, habría sido considerablemente peor.
En Gestión de claves
Si le preocupa que un atacante pueda acceder a la clave de todos modos, hay algunos pasos que puede tomar para mitigar ese riesgo.
En última instancia, a menos que use un Módulo de seguridad de hardware (HSM), proteger las claves es básicamente como jugar un juego de shell con el atacante. Una forma razonablemente efectiva de mantener las claves protegidas es no almacenarlas en el servidor. Una de mis soluciones favoritas para esto es el servicio de Azure KeyVault.
Al mantener las claves fuera del almacenamiento permanente en el servidor y recuperarlas solo para usarlas de la memoria, hace que sea más difícil para un atacante recuperar la clave. Aún necesitarás almacenar las claves para acceder a las claves ... pero agregar esa capa adicional de indirección hará que sea más difícil para tu atacante.