Тут дело даже не в возможности заблокировать доступ, а в возможности полностью удалить данные в случае утери, как то - электронную почту, СМС, ключи шифрования, сертификаты, VPN доступ и, возможно, копии документов.

Я бы предложил устанавливать их в PDF средствами усиленной квалифицированной подписи. Например с использованием CryptoPro Browser Plugin и TCPDF+CpCSP/(Java+JCP/C#+CpCSP)+iText. Но для конечных пользователей это будет ещё сложнее. ЭДО в чистом виде мало кто доверяет, и с нефтянкой в любом случае - только бумажно.

Всем проще и безопаснее, да и пока дешевле, ставить настоящую печать на бумажном документе.

И ещё раз добрый день. Дело в том, что основным профилем деятельности компании является IP телефония и системная интеграция, в первую очередь решений на базе GNU/Linux. Помимо должности директора я совмещаю должность главного инженера (фактически - системного архитектора) и по специфике работы обязан разбираться в информационной безопасности, стандартах и протоколах передачи данных. В том числе существующих уязвимостях и способах их обхода (Workaround). Попутно занимаюсь преподавательской деятельностью.
Понятие комплексной защиты (Defense-In-Depth) возникло далеко не на пустом месте и включает в себя семь уровней информационной безопасности, начиная от физической защиты помещений, заканчивая антивирусной защитой операционных систем.
Исторически - самая большая уязвимость любой компании - человеческий фактор и безграмотность сотрудников и зачастую руководства в области информационной безопасности, отсюда и пренебрежение даже самыми простыми правилами - например блокировать рабочие станции при уходе на обед, или использование для корпоративных ящиков публичной (не контролируемой) почты на фришард хостингах, типа gmail, yandex, mail.ru и т.п.
Возвращаясь к уязвимостям информационных систем, и обеспечения защиты данных, их можно отнести к разным классам защиты. В частности финансовые активы, я бы относил к классу безопасности ИС: Б2 (охрана коммерческой тайны), но с учетом специфики пользовательского опыта достаточно иметь уровень В1 (Двухфакторная Аутентификация, Авторизация, Аудит). По большей части ваша система клиент-банка соответствует критериям класса В1, и может пройти сертификацию.
По поводу клиентских устройств. Представьте, что руководитель, или бухгалтер, имеющий привязку телефона к личному кабинету интернет-банка забывает свой телефон на деловой встрече, семинаре, конференции (нужное - подчеркнуть) и к его телефону получает доступ посторонний. Разблокировать телефон на Android (за исключением версии 7 или выше) не представляет особой сложности, push уведомления и СМС так же показываются без полной разблокировки экрана. На лицо - возможность несанкционированного доступа к персональным данным, коммерческой и финансовой тайне, включая доступ к расчетным счетам.
Для обхода данной уязвимости чаще всего применяется две технологии - временной блокировки устройства через личный кабинет и полный вайп (очистка) данных. Временная блокировка применяется если телефон забыт, скажем на работе или у партнеров, и хочется временно запретить доступ к электронной почте, операций по счетам, мобильной версии бухгалтерии и т.п. Полный вайп - в случае утери или кражи устройства.
В любом случае, можете написать мне в Telegram, Viber или Skype для более подробной информации. Контактные данные у вас должны быть.

Добрый день. Решился перевести часть расчетов с клиентами в ваш банк. Буду ждать решения по токенам, советую обратить внимание на GoogleAuthenticator. Он использует библиотеку libfreeotp для реализации работы OTP токена, поддерживает архитектуру F2A. На стороне клиентского ПО реализуется легким движением руки (C/C++) или чуть сложнее на PHP/C#.
И перечень подключенных устройств к интернет-банку с возможностью контролировать доступ, в том числе push уведомления для каждого устройства - должен быть обязательно. В идеале - мобильный клиент должен при установке запрашивать разрешение на администратора устройства и в случае разрешения - в личном кабинете должна появляться функция удаленного сброса на заводские настройки. Подобный механизм управления есть в Microsoft Exchange, InTune, и других продуктах нацеленных на безопасность.

Ладно, добавлю дополнительно Google Authenticator для учетной записи Google. Надеюсь что OTP вернёте, хотя бы как опцию.

Не совсем так, у вас видно именно номера телефонов для СМС, телефоны на который установлено мобильное приложение в списке отсутствуют. Это может быть отличное устройство от того, куда приходят СМС.
Очень жаль что поддержку OTP убрали. Буду думать.

Спасибо за разъясненния.
Тогда докину вам требования по информационной безопасности:
1. В личном кабинете должно быть видно все привязанные клиенты мобильного банка (телефоны).
2. Для каждого телефона должна быть возможность приостановить действие, заблокировать устройство.
3. В случае попытки добавления нового устройства - уведомление на адрес электронной почты и/или СМС уведомлением, можно дублировать пушем с кодом на другое привязанное устройство (если есть).
4. Регистрировать смену IMSI ID карты, привязанной к номеру телефона (смену сим карты).
Это необходимо для защиты от следующих векторов атаки:
1. Смена симкарты по подделаной доверенности, по телефону, "скану" паспорта (прецеденты есть).
2. Эксплуатации SS7 для перехвата сообщений (MiTM)
3. Взлом электронной почты.

Каким образом можно защититься от выпуска сертификата ЭП и входа через госуслуги (вектор атаки может быть тем же) пока не ясно.
На Android отсуствует возможность использовать сертификаты ЭП для входа через ГосУслуги - что отпадает.
Как вариант - использовать кроссплатформенное приложение Google Authenticator (Android/iOS) которое поддерживает стандарт OTP.

Ещё дополнение, в тарифах (https://tochka.com/links/tariffs/update-20190915) присутствует пункт:
8.5.5. Предоставление ОТП-токена для доступа в Интернетбанк (стоимость за 1 токен)