Никогда ранее не задумывался над этим, но после недавней историей с телеграммом стало интересно.
Есть сайт социальной составляющей. Протокол https. Сообщения хранятся в бд на том же сервере. Стоит ли шифровать личные сообщения пользователей, если эти сообщения не уходят дальше собственного сервера?
Утянут базу - почитают переписку...
Проще - шифровать саму базу (файл-контейнер) встроенными средствами БД (чем сами записи).
Правильнее - (плюс к шифрованию базы) шифровать ещё и сами важные данные: записи внутри таблиц БД.
Ну и совсем правильно - к перечисленному добавить:
1. шифрование своего протокола обмена с клиентом (https - это не гарант!)
2. шифрование на клиенте.