如何保护配置文件中的敏感信息,比如数据库密码

我们产品部署在甲方数据中心，同事(以下简称 A,算是项目经理)反馈甲方要求不得保存明文敏感信息：

• 各种密码、密钥都是敏感信息
• 存储位置包含磁盘文件、数据库

我提出方案有

1. 数据加密: 配置文件中的敏感信息加密保存,解密密钥保存在配置文件中。A 的意见:加密密钥也属于密码、密钥。
2. 用管分离: 使用密码库,配置中心之类的基础设施,我们拉取配置信息。A 的意见: 连接配置中心需要用户名 /口令,也是密码；配置中心连数据库需要数据密码，也是密码。

我不确定是 A 自己没有理解需求，还是甲方确实这么提出，这不就无限套娃么。

我们的客户是金融行业，请问这方面有无具体的技术规范？如果我的方案可行，要怎么样才具有说服力呢？

PS: A 坚持认为自己已经跟甲方沟通好了，不愿意再去询问具体要求