Recomendo enfaticamente classificar os dados que você está processando (o nome de um cliente e o endereço residencial deles constituem PII?) e entender os regulamentos estaduais e federais relevantes sobre o envio desses dados a terceiros. Não são apenas "dados bancários" protegidos.
A lei estadual de MA pode exigir que os dados sejam criptografados em trânsito para qualquer residente. Veja 201 CMR 17.00 . A lei estadual da NV pode exigir que algumas informações sejam protegidas também para residentes. Veja NV SB347 . O CA SB 1386 impõe certos requisitos se os dados do residente forem "razoavelmente Acredita-se que tenha sido [...] adquirido por uma pessoa não autorizada. "Se você tiver dados não criptografados na nuvem e um provedor relatar uma violação não especificada, talvez seja necessário notificar os clientes.
Isso é apenas uma amostra do que está por aí. Então (1) entenda que tipo de dados você tem e (2) entenda quais são os seus requisitos legais e regulatórios para ajudar a informar sua decisão.
Para obter mais informações específicas sobre a nuvem, consulte CSA e o OWASP Cloud Project .