Como lidar com URLs de duas URLs por trás de uma rede restrita

Eu tenho um aplicativo que usa um gateway de pagamento de um banco local ( Banco A ). O aplicativo está por trás de uma rede restrita (não foi até o hit Wannacry Ransomware).

Nesse caso, a rede permitiu apenas solicitações de domínio do Banco A , que é o único domínio de terceiros que meu aplicativo acessa. O problema surge quando tento usar um VISA ou MASTERCARD de um cartão de crédito / débito emitido de um Banco C com 2FA ativado. Esses cartões são redirecionados para outra página em que o 2FA é tratado e essas re-indicações significam que o domínio é alterado e, eventualmente, bloqueado pela rede (firewall ou proxy ou ambos, ou qualquer outra coisa em que eu não tenha muita ideia).

Agora, o cara da rede de meus clientes me pede as URLs de domínio para poder conceder acesso a esses recursos. Mas eu explico a ele que não tenho controle sobre isso e nem faço meu pedido, e não tenho uma lista de domínios que os bancos usam para suas verificações de 2FA . E instruiu-os a entrar em contato com o banco do gateway de pagamento, que é o Banco A . E eles me respondem dizendo que entraram em contato com eles e têm um pacote de URL, mas que o banco não pode oferecer.

Então, como os caras da rede devem lidar com isso? Eles podem lidar com isso do seu lado ou é algo que o banco do Gateway de Pagamento precisa fazer? Como funcionam outros gateways de pagamento em um cenário como esse?

* PS: Eu não tenho muito conhecimento sobre redes, desculpe antecipadamente se isso soa como uma pergunta estúpida.

Editar 1: descrevendo entidades importantes

1. Bancos - Quem fornece os Gateways de pagamento (Banco A) e serviços relacionados a transações, como 2FA (Banco C).
2. Comerciante - Quem compra os serviços do Gateway de Pagamento do Banco (Banco A). Quem também é meu cliente para o qual eu desenvolvo a aplicação.
3. Usuário final - usa o aplicativo que está no Kiosk Machines para efetuar pagamentos para os serviços do comerciante.
4. Rede - Mantida pelo comerciante (sua LAN privada)

Basicamente, o Banco A tem uma API para uso dos desenvolvedores. A API está registrada em um domínio público, por isso é acessível por qualquer pessoa com as credenciais adequadas. A máquina de quiosque é o terminal de entrada do usuário, que será usado para fazer pagamentos para o comerciante (assim como outro contador). Quando o usuário inicia um processo de pagamento, enviamos informações relevantes sobre o pagamento ao portal de pagamento, que em troca verificará a validade das informações e solicitará ao usuário o formulário de informações do cartão de crédito / débito. Nesse ponto, se o cartão do usuário for emitido de outro banco com o 2FA habilitado, a rede bloqueia o redirecionamento para a página de verificação do 2FA, pois ele é de outro domínio. Se o cartão for do mesmo banco, não há problema. A transação será concluída e todos os sistemas de comerciantes serão atualizados sobre essa transação bem-sucedida.

Em resumo, o comerciante e o usuário estão dentro da LAN e de todos os serviços e são tratados internamente em seus sistemas. No entanto, quando ocorre um pagamento online, surge a necessidade de acessar a entidade externa (Banco A + Banco B). O Domínio do Banco A tem autorização para a rede.