質問に対する直接の答えではないのですが、気になりましたので…

案件において、「CGI+Sinatraを使う」「必要なビジネスロジックのみを盛り込む」という前提があり、やはり自前で作ることにしました。

ここですが、本来であれば自前で作ることは避け、実績のあるものを使う方が、機能・安全性・価格の全ての点で優位かと思います。であれば、「要件にはこのように書かれているが、これこれの理由で、ありものを使うことをお勧めします」という提案をすべきではないでしょうか?
私はセキュリティ・コンサルタントなので、仮にそのようなご依頼があれば対応する立場ではありますが、その場合でも、「まずはありものの利用を検討する」ことをお勧めすることになると思います。
ケースに分けて考えると、以下のようになるかと思います。

費用のところはもう少し細かく詰めないといけませんが、顧客目線で考えると、自前で頑張るのは得策ではないと思います。

ショップカートの設置ということは、お金を取り扱うサイトを作るということなので、セキュリティ対応、大変です。

サイトのセキュリティを考えるのであれば、セキュリティ要件の整理が重要になってきます。
セキュリティ要件の整理には
・サイトが対応すべき脅威の分析
・セキュリティ機能の選定
といったことが必要になりますが、上記を補助するドキュメントがなかなか見つからないと思います。
私が見た中では、NISC の資料が（EC サイト用ではないですが）網羅的で優秀でした。

「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の策定について
こちらの「同 マニュアル 付録A.対策要件集がよくまとまっています。

ただ、結局、対応策に関してはベンダー側の知見になるため、資料化され外部に公開されることはほとんどありません。
showtarow さんの手元に、それなりの数の EC サイトの RFI/RFP とその回答がないと対応は難しいと思います。

質問文章からの判断でしかありませんが、責任の持てるシステムを単独で顧客に提供するのはちょっと難しいのではないかと思います。
ナレッジのあるコンサル会社と一緒に案件をすすめるか、ASP 業者と組んで顧客要件を ASP の仕様に落とし込むのが良い気がします。