интересно, сколько минусов будет...

Там по спеке кроме разработки, интеграции системы, заложено и оборудование под систему, заложены расходы на коллцентр и техничекскую поддержку в течение 4 лет, причем поддержка оплачивающаяся по факту, т.е. это максимальная цена контракта, при оплате времени (пишут, что 2000ч.ч.) заложено и материалов по факту их расходования.
Не будет обращений не будет оплачиваться, причем проводился официальный тендер, на который были приглашены конторы, которые по чешскому же закону имеют право эти работы выполнять (безопасность дорог, управление транспортом).

Давай расскажи про использование вендоров для безопасности, и как все у них заебись.

Напомню тебе например про SAP Hana, группа энтузиастов указала на дыры в безопасности этого облачного решения, топ из SAP сделала заявление из разряда, не нужно искать дыры в нашем продукте, все занавес.
Билайн как-то объявил тендер, на IDP систему, победили китайцы, только Билайн через год объявил новый тендер, т.к. стоимость сервисов была такова, что проще было купить другую систему.
У меня перед глазами проект простой инсталляшки фаервола (1+1) - подрядчик намеренно выкатывает ценник на суппорт в разы больше стоимости самой инсталляции, там проще пару перцев на фултайм нанять, с обучением.
Тут уже писали про то, что опенсурс решения могут быть и не плохи, но сам проект может быть брошен или комьюнити мало и апдейты выходят по полгода, у тебя дыра в безопасности, а ты полгода ждешь, когда ребята на гитхаб новый релиз закоммитят, нормальный вариант. ну, а че, секьюрити нахуй не нада...

Ну, мамкин эксперт LC -Tale же не считает репутационные риски и вообще считает, что секьюрити не важно и в стоимость проекта не входит. И вообще все это фрилансер запилит за 10 тыс бачей.

И багами у него займутся QA, которых ой и не посчитано в проекте, как и инфраструктуры для развертывания тестовых инстансов хотя бы в облаках и на время, как не посчитана стоимость этого тестирования, написания автотестов, что конечно тоже не дело разработки, мамкины профессионалы ведь сразу на прод выкатывают...
А DevOPS и инфраструктура под него тоже из воздуха берется за копейки.

Если взять опсосов, то там есть привязка карты в кабинете пользователя для периодических платежей, или если клиент не хочет без связи оставаться. Вот тебе уже и нужно данные карты хранить, применительно к данной системе, например для автоматического списания и покупки нового проездного документа при желании пользователя.

Ну, и там других данных, судя по тому, что эта система для проезда для платных дорог, то права, паспортные данные, номер мобилы для мобильного приложения и отправки всяких уведомлений.

Нахуй секьюрити, готовые решения, работающие из коробки, все стоит три копейки. Все кто так не считает - коррупционеры, а не чуваки, которые на пару шагов вперед думают...

Почему все считают, что цена завышена?
Никто ведь ТЗ не видел и не знает, что туда входит, кроме того, что в статье написано.
Там не просто ведь вебморда...
Приходите на станцию покупаете билет либо в приложении, либо в терминале, билет в системе должен появится, контролер в поезде, отсканировав его терминальчиком, должен получить подтверждение, что билет валидный. Сколько таких интеграций, с уже имеющимися системами нужно сделать?
А техподдержка, в кол-центр будут звонить: "а у меня оплата прошла, деньги списались, а билет не отправлен'. 1, 2 линия техподдержки, сколько людей нужно?

Ну, не я писал, что все можно сделать, т.к. давно уже ко всему этому есть решения из коробки...
Решения то, может и есть, только, как они себя поведут под нагрузкой или сколько багов вылезет, когда нужно будет, что-то поменять в самой системе на мой взгляд сложно спрогнозировать.

Ты уроки сделал, профессионал?

Ну конечно, ты у нас главный профессионал.
Есть доступ на сервак, а есть доступ к базе. Твой же пользователь имеет доступ к базе, может запрашивать данные о свои заказах, значит права на какие-то таблицы имеет.

Почитай например про уязвимость (CVE-2016-6663), 2016 года
Уязвимость затрагивает MySQL и производные продукты, такие как MariaDB и Percona Server, и позволяет локальному пользователю, имеющему доступ к СУБД с типовыми правами на выполнение операций CREATE, INSERT и SELECT, получить полномочия администратора СУБД (обычно пользователь mysql) и возможность записи и чтения любых файлов MySQL, в том числе конфигурационных файлов и БД других пользователей. В сочетании с ранее обнародованной уязвимостью CVE-2016-6662, новая проблема упрощает проведение атаки по получению прав root на сервере с MySQL. И такое говно появлятся регулярно и дыры в системе, и дыры в базе. Просто так наверное, куча чуваков занимается исследование уязвимостей, выкладыванием различных релизов и дайджестов с их описанием, а другие чуваки провто так регулярно обновляет софт на фаерволах, выпускают патчи для операционок и и обновления сигнатур к различному говну на IDP системах.

Ты будешь отслеживать все эти уязвимости, думать об архитектуре решения, его защищенности, его надежности? Нет.
Ты мамкин программист, который писал, что мне секьюрити не важно, ты писал что похуй на бизнес-логику, ты еще кучу хуеты писал.
Я тебе могу рассказать про результаты таких разработчиков, когда в "деанонимизированных" слепках базах данных с несколькими миллионами пользователей использующихся для развертывания тестовых сред, моя команда находила валидные данные банковских карт в открытом виде (это данные одного из сотовых опрераторов, если что).

а где "можно грабить корованы" ?

Секьюрити нужно для того, чтобы какой-нибудь милый человек, отсканировавший логин и пароль передаваемый в открытом виде, не залогинился в систему под логином пользователя, а потом не из-за какой-нибудь уязвимости базы, не повысил привилегии до рута, а потом не слил из базы данные о кредитках, которые там в открытом виде, потому что "нахуй секьюрити".
Бизнес-логика, да нахер она нужна, ведь система сама решит какие билеты забронированы, какие проданы, а какие свободны, система сама определит льготы и скидки, система сама определит, когда и сколько будет доступно билетов в конкретном поезде, сама учтет изменения в расписании и бонусы по программе лояльности.

Если тебя как разработчика не ебет, кто и как будет поддерживать систему, то ты учитывая только первые два пункта, т.к. по остальным мне просто лень писать, ебаный кодер, а не разработчик и доверить тебе даже лендинги для лохов делать нельзя, т.к. и там ты обосрешься.