Estoy utilizando una clase de cifrado / descifrado AES que necesita un valor de clave y un valor vectorial que encripta y descifra datos en una aplicación MVC3.

Al guardar el registro, estoy cifrando los datos y almacenándolos en una base de datos. Cuando recupero el registro, estoy descifrando el controlador y pasando el valor sin cifrar a la vista.

La preocupación no es proteger los datos mientras atraviesa la red, sino proteger la base de datos en caso de que se vea comprometida.

He leído muchas publicaciones que dicen que no pongas las claves de cifrado en tu código.

Ok, entonces, ¿dónde deben mantenerse? Sistema de archivos? Otra base de datos?

Buscando alguna dirección.