2FA предусмотреть.
Админам не нужно давать все возможности сотрудника, только управление эккаунтами.
Push уведомления и направление по email о транзакциях.
Что-то конкретное можно написать только видя пилот, но в целом как постановка задачи для написания ТЗ норм.
