Vendo os comentários acredito que o que você precisa é um apikey
Sempre que o usuário precisar de acessar um conteúdo restrito ele deve fornecer essa informação.

É muito utilizado pra api.
Geralmente é um token que possui prazo pra expirar.
Você pode gerar um token quando o usuário logar, armazenar essa informação numa sessão e liberar o acesso as informações sensíveis.

Agora se precisar criptografar a informação é melhor utilizar chave dupla. Uma privada que fica com o usuário e uma pública que fica contigo. Quando o usuário precisar acessar a informação ele informar local a senha e consegue acessar o conteúdo criptografado sem que essa informação precise de trafegar no servidor. Quanto a quantidade de senhas e mudança de chave aí precisa de evoluir um pouco essa ideia.

Edit:
Lembrei de dois casos de uso que você pode pesquisar para ter ideias.
São elas armazenamento de cartão e cofre de senhas.
Armazenamento de cartão precisa de PCI Compliance, não sei dar muitos detalhes de como funciona. Mas é algo bem crítico. Se for esse o caso de uso recomendo verificar a possibilidade de armazenar criptografado com a adquirente tendo a chave privada ou armazenar o token para pagamento recorrente.

Neste último caso você salva um token que a própria adquirente fornece e a partir dele a adquirente recupera as informações no sistema deles para refazer a operação periodicamente. Não tenho informação de como a adquirente salva os dados de cartão, mas acredito que o cvv nunca é armazenado.

No caso do cofre de senhas o usuário tem a chave privada e utiliza a chave pública que você armazena para criptografar as senhas, assim somente com a chave pública ele consegue visualizar as senha armazenada. Observe que perdendo a chave privada perde-se o acesso as senhas.

Não sou especialista em nenhum dos dois casos então sugiro fortemente que pesquise mais a fundo caso a sua implementação utilize alguma informação nesse sentido.