Una startup de salud me llamó a principios de 2023. Fundadores amables, presupuesto decente, brief claro: formularios de admisión de pacientes, programación de citas, tal vez un widget de telemedicina más adelante. "Estamos en WP Engine", me dijo el CTO. Le pregunté si WP Engine había firmado su BAA. Pausa larga. "¿Qué es un BAA?"
Ahí es donde vive el problema -- no en el código, no en la pila de plugins, sino en el rastro de documentos que la mayoría de desarrolladores nunca leen y la mayoría de hosts evitan silenciosamente.
Aquí está el punto: el cumplimiento de HIPAA no es una función que actives. Es un marco legal, y el Acuerdo de Asociado de Negocio es el contrato que convierte a tu proveedor de hosting en una parte formal de ese marco. Sin un BAA firmado, no importa si tu servidor ejecuta TLS 1.3 y has cifrado cada campo en la base de datos. Sigues expuesto. Tus clientes también.
Déjame recorrer lo que realmente sé sobre cuáles plataformas firmarán en 2026, y -- más importante aún -- cuáles dicen lo correcto pero no ponen pluma en papel.
---
Qué es realmente un BAA (y qué no es)
Un Business Associate Agreement es un contrato bajo la HIPAA Privacy Rule que vincula a un proveedor a obligaciones específicas alrededor de Información Protegida de Salud (PHI). Cuando hospedas un sitio de healthcare, tu proveedor de hosting toca PHI -- incluso si es solo en la capa de infraestructura. Eso los convierte en un Business Associate. Sin excepciones.Business Associate Agreement is a contract under the HIPAA Privacy Rule that binds a vendor to specific obligations around Protected Health Information (PHI). When you host a healthcare site, your hosting provider touches PHI -- even if only at the infrastructure layer. That makes them a Business Associate. Full stop.
Lo que el BAA no hace es hacerte cumplidor automáticamente. Veo esto malentendido constantemente. El BAA significa que el host acepta su parte de responsabilidad y acepta salvaguardias. Tu capa de aplicación, tus formularios, tus plugins de WordPress, tu logging -- eso sigue siendo tu responsabilidad.their share of liability and agrees to safeguards. Your application layer, your forms, your WordPress plugins, your logging -- that's still on you.
Seahawk tuvo un proyecto en 2022 para un grupo de fisioterapia con sede en EE.UU. ejecutando un sitio WordPress. El cliente tenía un BAA con su proveedor de email (bien), su vendor de EHR (obviamente), pero nada con su host web. Su sitio estaba recopilando datos de síntomas vía Gravity Forms. Cada envío se estaba emailing a una cuenta de Gmail. Tres violaciones separadas en un flujo de trabajo. Lo desatamos en aproximadamente seis semanas.
---
Los Hosts Que Realmente Firmarán en 2026
AWS, GCP, y Azure -- Las Opciones Serias
Si necesitas un BAA y necesitas certeza, los hiperscalers son tu respuesta. Los tres -- Amazon Web Services, Google Cloud Platform, y Microsoft Azure -- ofrecen BAAs y mantienen listas de servicios elegibles para HIPAA.Amazon Web Services, Google Cloud Platform, and Microsoft Azure -- offer BAAs and maintain lists of HIPAA-eligible services.
AWS es lo que busco más. El BAA cubre un rango sólido de servicios: EC2, RDS, S3, CloudFront, Lambda, y más. Críticamente, no todos los servicios de AWS son elegibles. DynamoDB está en la lista; no todos los servicios experimentales lo están. Tienes que revisar la página actual de servicios elegibles antes de que arquitectes cualquier cosa.
El BAA de GCP cubre BigQuery, Cloud SQL, Compute Engine, y Cloud Storage, entre otros. Azure tiene la adopción empresarial más amplia en healthcare específicamente -- su BAA y documentación de cumplimiento es madura, y si tu cliente ya está en el ecosistema Microsoft (como la mayoría de organizaciones de healthcare empresariales), Azure frecuentemente tiene sentido organizacional.
El inconveniente con los tres: no estás obteniendo WordPress administrado aquí. Estás obteniendo infraestructura. Alguien tiene que construir y mantener la pila -- parches del OS, configuración de WAF, backups, encriptación en reposo y en tránsito. En Seahawk hemos usado AWS con una instancia EC2 endurecida ejecutando Nginx, PHP-FPM, y MySQL para clientes de healthcare. Funciona. También es mucha más sobrecarga operacional que darle a alguien un login de WP Engine.
Kinsta -- Sí Situacional
Kinsta opera en GCP. Ofrecen firma de BAA para clientes en sus planes de nivel más alto (Business 1 y superiores, la última vez que verificué). Esto importa porque Kinsta es genuinamente excelente hosting WordPress administrado. Rápido. Confiable. Buenos entornos de staging.
Pero — y esto merece énfasis — la cobertura de BAA de Kinsta es algo más estrecha que ir directamente a GCP tú mismo. Estás dependiendo de los controles internos de Kinsta además de los de GCP. Para muchos proyectos WordPress en healthcare, eso está bien. Para cualquier cosa que toque datos muy sensibles en volumen, querrías entender exactamente qué dicen sus documentos de seguridad antes de comprometerte.
Cloudways -- No
Cloudways es popular en el mundo de las agencias. Buena relación precio-rendimiento. Lo hemos usado en docenas de proyectos no sensibles. Pero en mi última verificación, Cloudways no ofrece un BAA de HIPAA. Incluso se ejecutan en AWS y GCP debajo, lo cual es levemente irónico. La capa administrada introduce incertidumbre que no respaldarán contractualmente para propósitos de HIPAA.
Pantheon -- No (para la mayoría de planes)
Pantheon es excelente para agencias de Drupal y WordPress. Cumplimiento de HIPAA no es su mercado. Han sido claros al respecto. No dejes que la marca empresarial te engañe.Drupal and WordPress agencies. HIPAA compliance is not their market. They've been clear about this. Don't let the enterprise branding fool you.
WP Engine -- No
Ya lo sé. Tienen documentación de cumplimiento. Hablan de seguridad. No firmarán un BAA de HIPAA. Sus términos de servicio explícitamente prohíben almacenar PHI en su plataforma. Esto los descalifica para cualquier caso de uso de salud verdadero. La startup que mencioné en la parte superior de este post? Este es exactamente el lugar donde estaban.
Liquid Web / Nexcess -- Posible, con salvedades
Liquid Web ha ofrecido hosting administrado compatible con HIPAA con firma de BAA, típicamente en sus productos de servidor dedicado o VPS en lugar de planes compartidos. Vale la pena una conversación directa con su equipo de ventas. Su postura de cumplimiento ha mejorado. Pero querría el BAA en mano antes de construir nada.
---
Lo que tu stack de WordPress necesita más allá del BAA
El BAA es la base, no la construcción. Aquí está lo que realmente debe suceder en la capa de aplicación para un sitio de WordPress adyacente a HIPAA.
Formularios y recopilación de datos
- Gravity Forms con la configuración adecuada puede usarse, pero Gravity Forms nativo almacena los envíos en la base de datos de WordPress por defecto. Para PHI, necesitas deshabilitar el almacenamiento en base de datos y enviar datos de forma segura a un destino compatible con HIPAA, o usar su complemento Encrypted Fields cuidadosamente. with the proper setup can be used, but native Gravity Forms stores submissions in the WordPress database by default. For PHI, you either need to disable database storage and pipe data securely to a HIPAA-compliant destination, or use their Encrypted Fields add-on carefully.
- Cognito Forms y FormAssembly ofrecen niveles compatibles con HIPAA con BAAs. Si el formulario es el punto principal de recopilación de datos, estos suelen ser más limpios que lidiar con GF. and FormAssembly both offer HIPAA-compliant tiers with BAAs. If the form is the primary data-collection point, these are often cleaner than wrestling with GF.
- Nunca, jamás uses complementos de formulario de contacto gratuitos que envíen datos a servidores de terceros sin verificar su postura de cumplimiento.
Este mata gente. Tu sitio WordPress probablemente envía email a través de wp_mail(), que por defecto usa PHP mail o un plugin SMTP conectado. Gmail estándar, Mailchimp estándar, SendGrid estándar -- ninguno de esos firma un BAA HIPAA en niveles de entrada.
Paubox es el que recomiendo consistentemente para clientes pequeños a medianos en healthcare. Email compatible con HIPAA, BAA incluido, precios directos. Google Workspace también ofrece un BAA para sus clientes de healthcare, pero requiere un plan específico y un proceso de solicitud formal -- no aplica a una cuenta estándar de Google. is the one I recommend consistently for small-to-mid healthcare clients. HIPAA-compliant email, BAA included, straightforward pricing. Google Workspace also offers a BAA for their healthcare clients, but it requires a specific plan and a formal request process -- it doesn't apply to a standard Google account.
Plugins e Integraciones de Terceros
Cada plugin que "marca a casa", cada script de analytics, cada widget de live chat -- todo potencialmente toca PHI dependiendo de qué datos están en la página. Ejecuta una auditoría adecuada. Yo uso Query Monitor para identificar qué está haciendo solicitudes externas, luego referencias cruzadas contra la documentación de cumplimiento de cada proveedor.Query Monitor to identify what's making external requests, then cross-reference against each vendor's compliance documentation.
HubSpot firmará un BAA. Intercom no lo hará (en los planes estándar). Hotjar casi con certeza no debería estar ejecutándose en un sitio de salud sin un ejercicio de alcance muy cuidadoso.
---
Cómo Obtener Realmente un BAA Firmado
Esto es más procedural que técnico, pero he visto proyectos estancarse aquí.
- Identifica cada proveedor que toca o podría tocar PHI -- host, CDN, email, formularios, analytics, chat de soporte, proveedor de backups. that touches or could touch PHI -- host, CDN, email, forms, analytics, support chat, backup provider.
- Solicita documentación de BAA del equipo de ventas o cumplimiento de cada proveedor. No asumas. Obtén todo por escrito. from each vendor's sales or compliance team. Don't assume. Get it in writing.
- Revisa el alcance -- un BAA que solo cubre ciertos servicios o ciertos tipos de datos necesita ser entendido antes de que firmes. -- a BAA that only covers certain services or certain data types needs to be understood before you sign.
- Almacena los acuerdos firmados en algún lugar donde el equipo legal de tu cliente pueda acceder. No solo en tu bandeja de entrada. somewhere your client's legal team can access. Not just in your inbox.
- Revisa anualmente -- los proveedores cambian sus políticas, los servicios se deprecan, y un BAA que cubría tu stack en 2024 podría tener brechas en 2026. -- vendors change their policies, services get deprecated, and a BAA that covered your stack in 2024 might have gaps in 2026.
La orientación de HHS sobre Asociados Comerciales es en realidad legible. Vale treinta minutos de tu tiempo si eres nuevo en esto.HHS guidance on Business Associates is actually readable. Worth thirty minutes of your time if you're new to this.
---
El Problema del CDN que Nadie Menciona
Ya solucionaste tu host. Tienes un BAA. Aseguraste la capa de aplicación. Luego pones Cloudflare enfrente.
Cloudflare firmará un BAA -- pero solo en su plan Enterprise, que comienza en un precio que lo descarta para la mayoría de los pequeños clientes de healthcare. ¿Los niveles gratuito y Pro? Sin BAA. Lo que significa que Cloudflare técnicamente está descifrando e inspeccionando tu tráfico HTTPS sin un BAA en vigencia, en un sitio que podría tener PHI en tránsito.Enterprise plan, which starts at a price point that rules it out for most small healthcare clients. The free and Pro tiers? No BAA. Which means Cloudflare is technically decrypting and inspecting your HTTPS traffic without a BAA in place, on a site that may have PHI in transit.
Para proyectos más pequeños, he evitado esto usando AWS CloudFront (elegible para BAA) como capa CDN cuando el sitio ya está en EC2 o detrás de un Application Load Balancer. Es menos glamoroso que un panel de Cloudflare pero está limpio desde el punto de vista del cumplimiento.
---
Lo que realmente construiría en 2026
Si un cliente de salud viniera a mí mañana con un requisito de WordPress, así es como lo arquitecturaría más o menos:
- Hosting: AWS EC2 (con un BAA firmado) ejecutando un stack LEMP endurecido, o Kinsta Business con su BAA en manoAWS EC2 (with a signed BAA) running a hardened LEMP stack, or Kinsta Business with their BAA in hand
- Email: Paubox para email transaccional y dirigido a proveedoresPaubox for transactional and provider-facing email
- Formularios: FormAssembly o Gravity Forms con almacenamiento de base de datos deshabilitado y enrutamiento de envío cifradoFormAssembly or Gravity Forms with database storage disabled and encrypted submission routing
- CDN: AWS CloudFront, no Cloudflare free/ProAWS CloudFront, not Cloudflare free/Pro
- Analytics: Matomo autohospedado en la misma infraestructura cubierta por BAA -- nada de Google Analytics para cualquier cosa que tenga aunque sea la posibilidad de PHI en la URL o parámetros.Self-hosted Matomo on the same BAA-covered infrastructure -- no Google Analytics for anything that has even a chance of PHI in the URL or parameters
- Copias de seguridad: AWS S3 (elegible para BAA) con cifrado del lado del servidorAWS S3 (BAA-eligible) with server-side encryption
¿Es más caro que una construcción estándar de WordPress? Sí. ¿Es más complejo operativamente? También. Pero la alternativa es un cliente enfrentando un proceso de notificación de violación HIPAA, multas potenciales comenzando en $100 por violación por día, y una conversación muy incómoda sobre por qué su desarrollador nunca mencionó nada de esto.HIPAA breach notification process, potential fines starting at $100 per violation per day, and a very uncomfortable conversation about why their developer never mentioned any of this.
---
FAQ
¿Tiene algún significado legal "alojamiento compatible con HIPAA"?
No. Es una frase de marketing. Lo que tiene significado legal es un BAA firmado. Cualquier proveedor puede llamarse a sí mismo compatible con HIPAA, amigable con HIPAA, o algo relacionado con HIPAA. Sin un BAA, esas palabras son meramente decorativas. Siempre pregunta específicamente: "¿Firmarán un Acuerdo de Asociado de Negocio con nosotros?"
¿Mi sitio realmente necesita un BAA si solo tiene un formulario de contacto?
Si el formulario de contacto recopila información que podría constituir PHI -- síntomas, diagnósticos, razones de citas, cualquier cosa vinculada a la identidad y estado de salud de un paciente -- entonces sí, cada proveedor en esa cadena de datos debería tener un BAA. Un formulario genérico "reservar una cita" que recopile solo nombre, teléfono y hora preferida es territorio más gris, pero aún así yo tendería a obtener el BAA.
¿Puedo usar WordPress.com para un sitio de cuidado de la salud?
WordPress.com (la plataforma alojada, no el software WordPress auto-alojado) no ofrece un BAA de HIPAA. Punto. Esto es diferente de WordPress auto-alojado ejecutándose en una infraestructura compatible. El software está bien. La plataforma alojada no es apropiada para PHI.
¿Qué pasa si un proveedor que estoy usando es adquirido y el nuevo propietario elimina el BAA?
Este es un riesgo real y lo he visto suceder con herramientas SaaS más pequeñas. Tu BAA debería tener cláusulas de terminación que se activen si el proveedor ya no puede cumplir con las obligaciones de HIPAA. Cuando recibas un email de anuncio de adquisición, no lo descartes -- verifica si los compromisos de cumplimiento se mantienen bajo la nueva entidad.
¿Es HIPAA solo una preocupación de Estados Unidos?
Sí, HIPAA es una ley federal estadounidense. Pero si estás construyendo para clientes de healthcare del Reino Unido o la UE, los equivalentes -- estándares de NHS Digital, el Data Security and Protection Toolkit, y GDPR aplicado a datos de salud -- tienen requisitos similares alrededor de acuerdos de procesador de datos. El marco difiere, la lógica no.
---
La mayoría de los desarrolladores, si somos honestos, no piensan en la BAA hasta que alguien pregunta. Para entonces o todo está bien (tuviste suerte) o estás adaptando una pila bajo presión con un cliente nervioso al teléfono.
Es mejor conocer el panorama antes de empezar el proyecto que darte cuenta a mitad de una construcción que tu proveedor no firmará el único documento que realmente importa.