Mi estimado, el tema tiene cierta complegidad, pero tu Post no incentiva , tenias que poner Ejemplos, cosas que hayas investigado, etc etc.

el principal problema es que aunque encriptes el dato mas sensible que tengas con el mejor encriptador del Mundo, si se tiene acceso, al equipo donde se encripta, donde esta la funcion de encriptar, de nada servira, por ellos los Servicios, como Paypal, OTORGAN los API KEYS, donde consta clave Publica y Clave Privada, con esa metodologia, en caso de comprometer la Clave Privada por Hackeo y demas, se puede bloquear desde el panel de Paypal y solicitar otra

la Clave privada, es algo que solo pueden saber Tu sistema y Paypal solamente, todo por debajo de la mesa.

y si encriptaras Dichas Claves publicas y privadas, en algun Punto tendrias que desencriptarlas para comunicarte con Paypal por ejemplo.

en lugar de centrarte, en la fortaleza de encriptacion, centrate en la seguridad donde se almacenan los Datos, TU servidor, pon atencion sobre todo en las variables o archivos que interactuan con la parte externa a tu servidor
formularios de subida de archivos, variables que se ingresan en consultas SQL, en resumen todo Dato de Entrada, debe estar correctamente saneada para evitar Inyecciones o ejecucion de codigo que comprometa, esas claves por ejemplo.

recuerda que PHP NODEJS son Lenguajes de Interpretacion, si alguien se hace con el codigo fuente te extrae, puede hacerle ingenieria inversa

pero si fuese Hecho en un lenguaje Compilado, como C++ o C, le gregas una capa mas de seguridad ya que aunque te extraigan el DLL o ejecutable, Obtener una vulnerabilidad es mas dificil.

puede que tambien tu preocupacion con las claves privadas, es que estes delegando un sistema financiero a un Tercero, que haga el mantenimiento, modificación de archivos ósea. aun desarrollador ya sea interno o externo.

para ello generalmente como freelancers siempre indicamos a nuestros clientes, que trabajamos con Copias locales, y bases de datos vacias o parciales, asi nuestros clientes estan seguros resguardando sus datos privados o sensibles.
En ese aspecto ay clientes sensibles que tienen incluso un comparador de archivos, donde las modificaciones o diferencias les son mostradas a ellos, asi estan al tanto de que se creo si hay funciones o archivos raros, eso me paso con algunas webs de Bancos. donde el encargado era bastante conciente de la seguridad.

si ese fuese tu caso, tu programador o tercera persona que haga modificaciones debe trabajarlo en un SANDBOX, no le debes dar acceso al servidor, al menos que confies al 100% en el, yo siempre sugiero al terminar mis trabajos en caso de haber compartido claves conmigo, que las cambien, por su seguridad.


tambien toma en cuenta, como Paypal, y similares, tiene un apartado de Pruebas, donde se usa TOKENS y CLAVES dummis para probar el sistema