Para o transporte de arquivos:
Eu recomendaria (Open) VPN para conexões de clientes com senha e certificados. Um túnel seguro é uma obrigação para dados delicados como este.
Se eu fosse você, colocaria algo parecido com um pfsense na frente disso (um aplicativo GW, ele também contém o OpenVPN). Pelo menos colocar um Firewall iptables no próprio servidor, ambos seriam ainda melhores.
Além disso, use um transporte seguro. O Vsftp (d) é uma boa escolha para o seu esforço.
Para armazenamento:
Eu recomendo usar usuários normais do sistema (talvez com Home-Folders criptografados melhor ainda que uma partição home criptografada) e uma cota de disco também pode ser útil.
Eu usaria uma partição extra para / home
Para o usuário:
Você simplesmente pode usar o WinSCP ou o Filezilla, simples de trabalhar, fácil de instalar, funciona.
Para o seu departamento:
Certifique-se de que a interface administrativa do aplicativo da Web tenha acesso limitado à equipe e ao administrador apenas (Negar de todos, Permitir de IP (s)) por meio da configuração do servidor da Web.
Se sua empresa tiver um ip fixo, use um túnel IPSEC adicional para o aplicativo GW ou para o servidor.
Preocupações sobre logins do ssh:
Não há necessidade para isso se você desabilitar os logins de senha e ativar somente a chave ssh.