Disculpa porque a lo mejor yo no he entendido bien y tampoco soy una experta en seguridad.
Yo creo que con una ssl, una contraseña bien encriptada, y lo típico depurar código para que no haya inyecciones de sql ni nada raro basta, pero ya te digo que no soy experta, y la seguridad de la web no depende sólo de la programación de la web, también del servidor.

Lo que si creo es que a las dos personas a las que les has pedido presupuesto, las digas que cuando la web esté en fase de pruebas vas a ir a una tercera empresa a que te haga una auditoria de seguridad y que que te dejen por escrito que se comprometen a solucionar los fallos que te puedan encontrar.

Es que es muy difícil que alguien te vaya a decir "la web que te he hecho no es segura"
Y a tu cliente añádele al presupuesto el certificado escrito de esa tercera empresa.