Eu estou usando uma classe de criptografia / descriptografia AES que precisa de um valor de chave e valor de vetor criptografar e descriptografar dados em um aplicativo MVC3.

Ao salvar o registro, estou criptografando os dados e armazenando em um banco de dados. Quando eu recuperar o registro eu estou descriptografando no controlador e passando o valor não criptografado para a exibição.

A preocupação não é proteger os dados enquanto eles atravessam a rede, mas proteger o banco de dados caso ele seja comprometido.

Eu li muitos posts que dizem não colocar as chaves para criptografia no seu código.

Ok, então onde eles devem ser mantidos? Sistema de arquivo? Outro banco de dados?

Procurando por alguma direção.