Блокчейн если только?

Только модель угроз, описание нарушителя

И т.д

Совершенно не обязательно

Отдельно вести аудит всех действий, ок. Но и его можно изменить

В документе с требованиями пишешь, что есть такое требование.
Во всяких трп/дизайнах и прочем описываешь ту модель, которую избрал для выполнения требования.

У нас на практике есть понятие 'юридически значимых данных'. Эти данные заверяются ЭЦП на уровне пользователя.
На уровне админов/программистов доступ к данным сопровождается бюрократической процедурой.

Всякие логи по изменению ведутся с набором отметок, гарантирующих уникальность действия.

От нарушений со стороны суперадмина работают всякие соглашения при найме на работу.

Полной защиты ты гарантировать все равно не сможешь, ибо дорого

Ты задаешь фактически вопрос, как написать безопасное ПО. Это далеко не просто.

+

Но никто и не требует абсолютной защиты у регуляторов есть допустимые рамки. В их рамках, пусть и дорого, можно реализовать.

Большенство закрывается ролевой моделью, разграничением прав доступа, ведения журнала аудита. Самой СУБД и т.д.
Думаю как грамотно ответить на замечание юристов

Этого мало

Что за набор отметок, гарантирующих уникальность действий?

Ну, в протоколы апи между фронт и бек приложениями пихаешь набор полей, которые при первом запросе генерит сервер, а при последующих проверят значения

ну вообще у нас есть объекты, с которыми именно так и происходит.

У нас только авторизованные пользователи, контроль сессий по токенам, со временем жизни

Клёво, и?

Ну, типо, к чему ты это написал?

Это закрывает определенные интерфейсы, не более того. И даже по этим интерфейсам ещё надо смотреть подробно протоколы.

Https что тут думать

К тому что это стандартная http аутентификация