Разворачиваете PKI, если ещё нет, поднимаете ВМ под каждый клиент-банк, разрешаете платежникам ходить на эти ВМ под доменными логинами, вешаете на них драконовские политики безопасности, но так, чтобы работал и RDP (шифрованный, кстати, будет, так что СБ будет довольна - по локалу никто не перехватит ключи) и клиент-банк(и), вывешиваете RDP-файлы от подключений к ним в папку, куда у платежников есть доступ только на чтение, и показываете всем заинтересованным сторонам. Платежникам - работать с клиент-банками вот так, синхронизировать доступ вот так (если только вы ещё и RDSH-лицензирование не настроите для этой структуры, тогда пользователи смогут работать параллельно на одной ВМ, но это дороже и нужно будет настраивать таймауты, чтобы юзера не забывали о сессиях, и т.п.), СБ - защищено это всё полноценным TLSv1.2 на каналах связи между ВМ и РМ пользователей.