просто уровень экспертизы в этой области низкий, надо как-то погружаться в тему. Грубо говоря если завтра мне надо будет банковский клиент запилить - я не знаю за что браться с точки зрения безопасности. Дискомфортно)
Универсальных инструкций нет. Но с банковскими приложениями чуть проще. Там как правило уже в требованиях есть некоторые минимальные вещи, которые банк хочет видить (root check, всякая крипта и т.п.). Ну а дальше дело техники =) Загуглишь страшные слова из требований и чего-то заимплементишь. Через пару тройку итераций бодания с безопасниками банка - заимплементишь правильно =)