Una startup de salud me llamó a principios de 2023. Fundadores amables, presupuesto decente, brief claro: formularios de admisión de pacientes, programación de citas, tal vez un widget de telemedicina más adelante. "Estamos en WP Engine", me dijo el CTO. Le pregunté si WP Engine había firmado su BAA. Pausa larga. "¿Qué es un BAA?"
Ahí vive el problema — no en el código, no en el stack de plugins, sino en el rastro de documentos que la mayoría de desarrolladores nunca leen y que la mayoría de hosts evitan silenciosamente.
Aquí está el punto: el cumplimiento de HIPAA no es una función que actives. Es un marco legal, y el Acuerdo de Asociado de Negocio es el contrato que convierte a tu proveedor de hosting en una parte formal de ese marco. Sin un BAA firmado, no importa si tu servidor ejecuta TLS 1.3 y has cifrado cada campo en la base de datos. Sigues expuesto. Tus clientes también.
Déjame recorrer lo que realmente sé sobre qué plataformas firmarán en 2026, y — más importante — cuáles dicen las cosas correctas pero no firman.
---
Qué es realmente un BAA (y qué no es)
Un Business Associate Agreement es un contrato bajo la HIPAA Privacy Rule que vincula a un proveedor a obligaciones específicas alrededor de Protected Health Information (PHI). Cuando alojas un sitio de salud, tu proveedor de hosting toca PHI — aunque sea solo a nivel de infraestructura. Eso los hace un Business Associate. Punto.Business Associate Agreementis a contract under the HIPAA Privacy Rule that binds a vendor to specific obligations around Protected Health Information (PHI). When you host a healthcare site, your hosting provider touches PHI — even if only at the infrastructure layer. That makes them a Business Associate. Full stop.
Lo que el BAA no hace es hacerte cumplidor automáticamente. Veo esto malinterpretado constantemente. El BAA significa que el host acepta su parte de responsabilidad y se compromete a salvaguardas. Tu capa de aplicación, tus formularios, tus plugins de WordPress, tu logging — eso sigue siendo responsabilidad tuya.theirshare of liability and agrees to safeguards. Your application layer, your forms, your WordPress plugins, your logging — that's still on you.
Seahawk tuvo un proyecto en 2022 para un grupo de fisioterapia con sede en EE.UU. ejecutando un sitio WordPress. El cliente tenía un BAA con su proveedor de email (bien), su vendor de EHR (obviamente), pero nada con su host web. Su sitio estaba recopilando datos de síntomas vía Gravity Forms. Cada envío se estaba emailing a una cuenta de Gmail. Tres violaciones separadas en un flujo de trabajo. Lo desatamos en aproximadamente seis semanas.
---
Los Hosts Que Realmente Firmarán en 2026
AWS, GCP, y Azure — Las Opciones Serias
Si necesitas un BAA y necesitas certeza, los hyperscalers son tu respuesta. Los tres — Amazon Web Services, Google Cloud Platform, y Microsoft Azure — ofrecen BAAs y mantienen listas de servicios elegibles para HIPAA.Amazon Web Services, Google Cloud Platform, and Microsoft Azure — offer BAAs and maintain lists of HIPAA-eligible services.
AWS es lo que busco más. El BAA cubre un rango sólido de servicios: EC2, RDS, S3, CloudFront, Lambda, y más. Críticamente, no todos los servicios de AWS son elegibles. DynamoDB está en la lista; no todos los servicios experimentales lo están. Tienes que revisar la página actual de servicios elegibles antes de que arquitectes cualquier cosa.
El BAA de GCP cubre BigQuery, Cloud SQL, Compute Engine, y Cloud Storage, entre otros. Azure tiene la adopción empresarial más amplia en healthcare específicamente — su BAA y documentación de cumplimiento es madura, y si tu cliente ya está en el ecosistema de Microsoft (lo que la mayoría de organizaciones de healthcare empresarial están), Azure frecuentemente tiene sentido organizacional.
La trampa con los tres: no estás obteniendo WordPress administrado aquí. Estás obteniendo infraestructura. Alguien tiene que construir y mantener el stack — parches del SO, configuración del WAF, backups, encriptación en reposo y en tránsito. En Seahawk hemos usado AWS con una instancia EC2 endurecida ejecutando Nginx, PHP-FPM, y MySQL para clientes de salud. Funciona. También tiene mucho más overhead operativo que entregar a alguien un login de WP Engine.
Kinsta — Sí condicional
Kinsta opera en GCP. Ofrecen firma de BAA para clientes en sus planes de nivel más alto (Business 1 y superiores, la última vez que verificué). Esto importa porque Kinsta es genuinamente excelente hosting WordPress administrado. Rápido. Confiable. Buenos entornos de staging.
Pero — y esto vale la pena enfatizar — la cobertura de BAA de Kinsta es algo más estrecha que ir directo a GCP tú mismo. Depende de los controles internos de Kinsta además de los de GCP. Para muchos proyectos WordPress de salud, eso está bien. Para cualquier cosa que toque datos muy sensibles en volumen, querría entender exactamente qué dice su documentación de seguridad antes de comprometerme.
Cloudways — No
Cloudways es popular en el mundo de las agencias. Buena relación precio-rendimiento. Lo hemos usado en docenas de proyectos no sensibles. Pero en mi última verificación, Cloudways no ofrece un BAA de HIPAA. Incluso se ejecutan en AWS y GCP debajo, lo cual es levemente irónico. La capa administrada introduce incertidumbre que no respaldarán contractualmente para propósitos de HIPAA.
Pantheon — No (para la mayoría de planes)
Pantheon es excelente para agencias de Drupal y WordPress. Cumplimiento de HIPAA no es su mercado. Han sido claros al respecto. No dejes que la marca empresarial te engañe.
WP Engine — No
Ya lo sé. Tienen documentación de cumplimiento. Hablan de seguridad. No firmarán un BAA de HIPAA. Sus términos de servicio explícitamente prohíben almacenar PHI en su plataforma. Esto los descalifica para cualquier caso de uso de salud verdadero. La startup que mencioné en la parte superior de este post? Este es exactamente el lugar donde estaban.
Liquid Web / Nexcess — Posible, con reservas
Liquid Web ha ofrecido hosting administrado compatible con HIPAA con firma de BAA, típicamente en sus productos de servidor dedicado o VPS en lugar de planes compartidos. Vale la pena una conversación directa con su equipo de ventas. Su postura de cumplimiento ha mejorado. Pero querría el BAA en mano antes de construir nada.
---
Lo que tu stack de WordPress necesita más allá del BAA
El BAA es la base, no la construcción. Aquí está lo que realmente debe suceder en la capa de aplicación para un sitio de WordPress adyacente a HIPAA.
Formularios y recopilación de datos
- Gravity Forms con la configuración adecuada se puede usar, pero Gravity Forms nativo almacena envíos en la base de datos de WordPress de forma predeterminada. Para PHI, necesitas desactivar el almacenamiento en base de datos y enviar datos de forma segura a un destino compatible con HIPAA, o usar su complemento Encrypted Fields con cuidado.with the proper setup can be used, but native Gravity Forms stores submissions in the WordPress database by default. For PHI, you either need to disable database storage and pipe data securely to a HIPAA-compliant destination, or use their Encrypted Fields add-on carefully.
- Cognito Forms y FormAssembly ofrecen niveles compatibles con HIPAA con BAA. Si el formulario es el punto principal de recopilación de datos, estos suelen ser más limpios que luchar con GF.andFormAssemblyboth offer HIPAA-compliant tiers with BAAs. If the form is the primary data-collection point, these are often cleaner than wrestling with GF.
- Nunca, jamás uses complementos de formulario de contacto gratuitos que envíen datos a servidores de terceros sin verificar su postura de cumplimiento.
Este te mata. Tu sitio WordPress probablemente envía correos electrónicos a través de wp_mail(), que por defecto usa PHP mail o un plugin SMTP conectado. Gmail estándar, Mailchimp estándar, SendGrid estándar — ninguno de esos firma un BAA HIPAA en los planes de entrada.
Paubox es el que recomiendo consistentemente para clientes de salud pequeños y medianos. Correo electrónico compatible con HIPAA, BAA incluido, precios directos. Google Workspace también ofrece un BAA para sus clientes de salud, pero requiere un plan específico y un proceso de solicitud formal — no se aplica a una cuenta estándar de Google.is the one I recommend consistently for small-to-mid healthcare clients. HIPAA-compliant email, BAA included, straightforward pricing. Google Workspace also offers a BAA for their healthcare clients, but it requires a specific plan and a formal request process — it doesn't apply to a standard Google account.
Plugins e Integraciones de Terceros
Cada plugin que se comunica con servidores externos, cada script de análisis, cada widget de chat en vivo — todo eso potencialmente toca PHI dependiendo de qué datos estén en la página. Ejecuta una auditoría adecuada. Uso Query Monitor para identificar qué está haciendo solicitudes externas, luego hago referencias cruzadas contra la documentación de cumplimiento de cada proveedor.Query Monitorto identify what's making external requests, then cross-reference against each vendor's compliance documentation.
HubSpot firmará un BAA. Intercom no lo hará (en los planes estándar). Hotjar casi con certeza no debería estar ejecutándose en un sitio de salud sin un ejercicio de alcance muy cuidadoso.
---
Cómo Obtener Realmente un BAA Firmado
Esto es más procedural que técnico, pero he visto proyectos estancarse aquí.
- Identifica cada proveedor que toque o pueda tocar PHI — hosting, CDN, correo electrónico, formularios, análisis, chat de soporte, proveedor de copias de seguridad.that touches or could touch PHI — host, CDN, email, forms, analytics, support chat, backup provider.
- Solicita documentación de BAA del equipo de ventas o cumplimiento de cada proveedor. No lo asuumas. Obtenlo por escrito.from each vendor's sales or compliance team. Don't assume. Get it in writing.
- Revisa el alcance — un BAA que solo cubre ciertos servicios o tipos de datos específicos necesita ser entendido antes de que firmes.— a BAA that only covers certain services or certain data types needs to be understood before you sign.
- Guarda los acuerdos firmados en un lugar al que el equipo legal de tu cliente pueda acceder. No solo en tu bandeja de entrada.somewhere your client's legal team can access. Not just in your inbox.
- Revísalo anualmente — los proveedores cambian sus políticas, los servicios se deprecan, y un BAA que cubría tu stack en 2024 podría tener brechas en 2026.— vendors change their policies, services get deprecated, and a BAA that covered your stack in 2024 might have gaps in 2026.
La guía del HHS sobre Business Associates en realidad es legible. Vale la pena dedicar treinta minutos si eres nuevo en esto.HHS guidance on Business Associatesis actually readable. Worth thirty minutes of your time if you're new to this.
---
El Problema del CDN que Nadie Menciona
Ya solucionaste tu host. Tienes un BAA. Aseguraste la capa de aplicación. Luego pones Cloudflare enfrente.
Cloudflare firmará un BAA — pero solo en su plan Enterprise, que comienza a un precio que lo descarta para la mayoría de clientes de salud pequeños. ¿Los niveles gratuito y Pro? Sin BAA. Lo que significa que Cloudflare técnicamente está descifrando e inspeccionando tu tráfico HTTPS sin un BAA vigente, en un sitio que podría tener PHI en tránsito.Enterprise plan, which starts at a price point that rules it out for most small healthcare clients. The free and Pro tiers? No BAA. Which means Cloudflare is technically decrypting and inspecting your HTTPS traffic without a BAA in place, on a site that may have PHI in transit.
Para proyectos más pequeños, he evitado esto usando AWS CloudFront (elegible para BAA) como capa CDN cuando el sitio ya está en EC2 o detrás de un Application Load Balancer. Es menos glamoroso que un panel de Cloudflare pero está limpio desde el punto de vista del cumplimiento.
---
Lo que realmente construiría en 2026
Si un cliente de salud viniera a mí mañana con un requisito de WordPress, así es como lo arquitecturaría más o menos:
- Hosting: AWS EC2 (con un BAA firmado) ejecutando un stack LEMP endurecido, o Kinsta Business con su BAA en manoAWS EC2 (with a signed BAA) running a hardened LEMP stack, or Kinsta Business with their BAA in hand
- Email: Paubox para email transaccional y dirigido a proveedoresPaubox for transactional and provider-facing email
- Formularios: FormAssembly o Gravity Forms con almacenamiento de base de datos deshabilitado y enrutamiento de envío encriptadoFormAssembly or Gravity Forms with database storage disabled and encrypted submission routing
- CDN: AWS CloudFront, no Cloudflare gratuito o ProAWS CloudFront, not Cloudflare free/Pro
- Analytics: Matomo auto-hospedado en la misma infraestructura cubierta por BAA — sin Google Analytics para nada que tenga aunque sea una posibilidad de PHI en la URL o parámetrosSelf-hosted Matomo on the same BAA-covered infrastructure — no Google Analytics for anything that has even a chance of PHI in the URL or parameters
- Backups: AWS S3 (elegible para BAA) con encriptación del lado del servidorAWS S3 (BAA-eligible) with server-side encryption
¿Es más caro que una construcción estándar de WordPress? Sí. ¿Es más complejaoperacionalmente? También. Pero la alternativa es un cliente enfrentando un proceso de notificación de brecha HIPAA, multas potenciales comenzando en $100 por violación por día, y una conversación muy incómoda sobre por qué su desarrollador nunca mencionó nada de esto.HIPAA breach notificationprocess, potential fines starting at $100 per violation per day, and a very uncomfortable conversation about why their developer never mentioned any of this.
---
FAQ
¿Tiene algún significado legal "alojamiento compatible con HIPAA"?
No. Es una frase de marketing. Lo que tiene significado legal es un BAA firmado. Cualquier proveedor puede llamarse a sí mismo compatible con HIPAA, amigable con HIPAA, o algo relacionado con HIPAA. Sin un BAA, esas palabras son meramente decorativas. Siempre pregunta específicamente: "¿Firmarán un Acuerdo de Asociado de Negocio con nosotros?"
¿Mi sitio realmente necesita un BAA si solo tiene un formulario de contacto?
Si el formulario de contacto recopila información que podría constituir PHI —síntomas, diagnósticos, motivos de citas, cualquier cosa vinculada a la identidad y estado de salud de un paciente—, entonces sí, todo proveedor en esa cadena de datos debe tener un BAA. Un formulario general de "reservar una cita" que recopila solo nombre, teléfono y hora preferida es territorio más gris, pero aún así yo optaría por obtener el BAA.
¿Puedo usar WordPress.com para un sitio de cuidado de la salud?
WordPress.com (la plataforma alojada, no el software WordPress auto-alojado) no ofrece un BAA de HIPAA. Punto. Esto es diferente de WordPress auto-alojado ejecutándose en una infraestructura compatible. El software está bien. La plataforma alojada no es apropiada para PHI.
¿Qué pasa si un proveedor que estoy usando es adquirido y el nuevo propietario elimina el BAA?
Este es un riesgo real y lo he visto ocurrir con herramientas SaaS más pequeñas. Tu BAA debe tener cláusulas de terminación que se activen si el proveedor ya no puede cumplir con las obligaciones de HIPAA. Cuando recibas un correo de anuncio de adquisición, no lo elimines —verifica si los compromisos de cumplimiento se mantienen bajo la nueva entidad.
¿Es HIPAA solo una preocupación de Estados Unidos?
Sí, HIPAA es una ley federal estadounidense. Pero si estás construyendo para clientes de salud en Reino Unido o la UE, los equivalentes — los estándares de NHS Digital, el Data Security and Protection Toolkit, y GDPR aplicado a datos de salud — tienen requisitos similares alrededor de acuerdos de procesador de datos. El marco difiere, la lógica no.
---
La mayoría de los desarrolladores, si somos honestos, no piensan en la BAA hasta que alguien pregunta. Para entonces o todo está bien (tuviste suerte) o estás adaptando una pila bajo presión con un cliente nervioso al teléfono.
Es mejor conocer el panorama antes de empezar el proyecto que darte cuenta a mitad de una construcción que tu proveedor no firmará el único documento que realmente importa.