数据库密码设置过期，脑子有问题？

最近公司在做安全合规这块，请了一个三方安全服务公司过来，端着电脑一条一条的与旁边的同事核对，随意听见几条。

乙：你们 MySQL 密码有设置定期修改吗？
甲：没有。
乙：为什么不呢，会不会产生安全问题呢？
甲：可...能...会吧
......
乙：你们数据库默认的 db 都删掉了吧？
甲：删了，我们是云数据库，不存在这个 test
乙：我看到 redis 里面好多 db0,db1,db2...这些默认的没删啊
甲：这个...不用吧
乙：为什么不呢，会不会产生安全问题呢？
......
乙：你们数据有做异地备份吗？
甲：我们是云 RDS，备份上传到了 OSS
乙：在同一个华东 1 可用区吗
甲：是的
乙：那就算没异地备份了

类似的问题有很多，感觉就是为了一个安全证书，说啥咱都点头。很多都不实际呀，像数据库密码，业务 7×24 访问，定期修改密码，业务还怎么用嘛，没办法做到同时修改数据库密码和应用配置的密码啊

不知各位 V 友怎么看