Si pasaste la última semana leyendo threads conflictivos en Reddit sobre si Supabase cumple con HIPAA, la versión corta es sí -- pero solo con el plan correcto, con el complemento correcto, y solo después de que se firme el BAA. La versión larga explica por qué la mayoría de los equipos se equivocan en su primer despliegue y cómo debe verse realmente tu stack en 2026.Supabase is HIPAA-compliant, the short version is yes -- but only on the right plan, with the right add-on, and only after the BAA is signed. The longer version explains why most teams get this wrong on their first deploy and what your stack actually needs to look like in 2026.
Dos hechos cambiaron el cálculo en 2025: Vercel abrió los BAA de HIPAA a equipos Pro como complemento de $350/mes, y Supabase hizo que su complemento HIPAA fuera de autoservicio desde el dashboard. El costo combinado -- $700/mes para la capa de plataforma -- finalmente pone un stack Next.js + Supabase compatible con HIPAA y defensible al alcance de equipos de health-tech pre-Series A. Antes de 2025, la misma configuración requería Vercel Enterprise (alrededor de $45K/año en la mediana) y Supabase Enterprise (precios personalizados, típicamente un nivel similar), precios que obligaban a la mayoría de equipos en etapa temprana a migrar a AWS o Azure.Vercel opened HIPAA BAAs to Pro teams as a $350/month add-on, and Supabase made its HIPAA add-on self-serve from the dashboard. The combined cost -- $700/month for the platform layer -- finally puts a defensible HIPAA-compliant Next.js + Supabase stack in reach of pre-Series-A health-tech teams. Before 2025 the same setup required Vercel Enterprise (around $45K/year median) and Supabase Enterprise (custom pricing, typically a similar tier), pricing most early-stage teams onto AWS or Azure instead.
¿Es Supabase compatible con HIPAA en 2026?
Sí, con dos condiciones. Primero, necesitas estar en el plan Team ($599/mes) o el plan Enterprise, más el complemento HIPAA a $350/mes. Los planes Free y Pro no soportan HIPAA a ningún precio -- el plan Pro de Supabase ($25/mes) no puede almacenar PHI bajo ninguna configuración. Segundo, debes tener un Business Associate Agreement (BAA) firmado con Supabase, ejecutado desde el dashboard para clientes Team y Enterprise.
Almacenar PHI en un proyecto Supabase Pro sin el complemento HIPAA es una violación de HIPAA sin importar cuán cerradas estén tus políticas de RLS. El BAA es la capa contractual que hace que las salvaguardas técnicas cuenten. Sin BAA, sin cumplimiento -- la misma regla que con cualquier otro proveedor en tu stack.
Qué te compra realmente el complemento HIPAA de Supabase a $350/mes
El complemento de $350 cubre cuatro cosas que tu plan Pro no tiene: un BAA firmado, controles de seguridad adicionales (auditoría de logs, IP allowlisting, cumplimiento de MFA, retención de logs), infraestructura dedicada para cargas de trabajo sensibles al cumplimiento, y acceso al conjunto de documentación de cumplimiento de Supabase requerida para tus propias auditorías.
- Encriptación en reposo con AES-256, en tránsito con TLS 1.2+ -- lo mismo que Pro, pero legalmente limitado bajo el BAA.
- Retención de auditoría de logs extendida para cumplir el requisito de 6 años de HIPAA para logs de acceso que tocan PHI.
- La recuperación point-in-time de base de datos y backups están incluidos en el alcance del BAA, así que restaurar desde un backup no te pone fuera del acuerdo.
- Storage buckets, Auth, Edge Functions, y Realtime están todos en alcance. Puedes usar la plataforma completa para cargas de trabajo HIPAA.
- La funcionalidad de AI / Vector (pgvector) está en alcance, pero si embeddes PHI a vectores eres responsable de la postura de encriptación de los embeddings mismos y de cualquier llamada a API de embedding externa.
El stack HIPAA completo de $700/mes: Vercel + Supabase + las partes que todavía tienes que construir
Un stack Next.js + Supabase compatible con HIPAA y defensible en 2026 cuesta $700/mes para la capa de plataforma -- $350 a Vercel por el complemento BAA Pro, $350 a Supabase por el complemento HIPAA. Ese precio asume que estás en Vercel Pro y Supabase Team, que juntos cuestan aproximadamente $620/mes en base antes de los BAA. Piso total: alrededor de $1,320/mes, más asientos, más cualquier servicio tercerista elegible para HIPAA.
Qué cubren los BAAs de la plataforma
- Hosting (Vercel): Edge runtime, Functions, ISR, optimización de imágenes, retención de logs. El BAA Pro NO incluye Secure Compute (redes aisladas, IPs dedicadas, VPC peering) -- eso es solo Enterprise a alrededor de $45K/año en la mediana.
- Base de datos, Auth, Storage, Realtime, Edge Functions (Supabase): todos cubiertos bajo el BAA.
- DNS, CDN, pipeline de build (Vercel): cubiertos.
Lo que los BAA de plataforma NO cubren -- tu responsabilidad
- Audit logging en la capa de aplicación -- cada lectura/escritura de PHI necesita caer en tu propia tabla de auditoría o en un logger externo elegible para HIPAA como una Edge Function de Supabase escribiendo a un bucket con retención aislada.
- Autenticación y gestión de sesiones -- Supabase Auth con el BAA cubre el almacenamiento de credenciales, pero tu código de manejo de sesiones, tus comprobaciones de rol y tu cumplimiento de timeout por inactividad son de capa de aplicación.
- PHI en registros de errores -- Sentry, Datadog, LogRocket, PostHog, etc. NO están incluidos a menos que tengas su tier HIPAA separado (la mayoría lo ofrece, todos cobran extra). El tier HIPAA de Sentry existe en el plan Business ($80+/asiento/mes). El complemento HIPAA de Datadog requiere Enterprise.
- Email -- Resend, Postmark, SendGrid: cada uno tiene su propio tier HIPAA. El soporte HIPAA de Resend llegó en 2025 en el plan Pro con un BAA separado. Verifica antes de enviar recordatorios de citas o cualquier PHI por email.
- Integraciones de terceros -- toda API externa que toque PHI necesita su propio BAA. Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA a $99/mes incluido), HubSpot Healthcare, etc.
Cómo desplegar una configuración Next.js + Supabase compatible con HIPAA en 2026 -- la secuencia práctica
1. Firma los BAAs primero, antes de escribir el schema
Configura una cuenta Vercel Pro, agrega el complemento BAA HIPAA desde el dashboard. Configura una cuenta Supabase Team, solicita el complemento HIPAA, firma el BAA desde el dashboard. Ambos son acuerdos de click-through -- sin llamadas de ventas Enterprise -- y ambos deben completarse antes de que cualquier PHI toque tu infraestructura. Si construyes primero y firmas después, todo byte de PHI que llegó al almacenamiento pre-BAA es una violación.
2. Diseña tu schema con aislamiento de PHI en mente
Separa columnas de PHI de columnas sin PHI. Las políticas RLS deben aplicarse en cada tabla de PHI, siendo la política predeterminada deny. Usa pgcrypto para cifrado a nivel de columna en campos altamente sensibles (SSN, códigos de diagnóstico, notas de salud mental) -- el BAA cubre AES-256 en reposo, pero la defensa en profundidad en los campos más sensibles es lo que tu auditor preguntará.
3. Auditoría de registro en cada acceso PHI
HIPAA requiere que registres toda lectura y escritura de PHI, y retengas los registros durante seis años. El patrón que funciona en Supabase: una tabla audit_log separada a la que cada consulta que toca PHI escribe mediante un trigger o una Edge Function. El registro de auditoría en sí es adyacente a PHI -- almacenas IDs de usuario, timestamps e IDs de paciente, pero nunca el contenido de PHI en la fila de auditoría. Retén el registro de auditoría con una política de retención separada de la base de datos operativa.
4. Autenticación con manejo de sesiones elegible para HIPAA
Supabase Auth con el complemento HIPAA está dentro del alcance del BAA. Los requisitos de nivel de aplicación siguen siendo responsabilidad tuya: sesiones con tiempo de inactividad (típicamente 15 minutos para estaciones de trabajo clínicas, 30 minutos para apps orientadas al paciente), aplicación de MFA para cuentas de clínicos, políticas de rotación de contraseña si tu auditor las requiere, y control de acceso basado en roles explícito en cada ruta protegida. Usa Next.js middleware para la verificación de sesión, no solo guardias del lado del cliente.
5. Almacenamiento para documentos e imágenes PHI
Supabase Storage con el complemento HIPAA cubre acceso mediante URL firmada, cifrado en reposo y buckets con alcance BAA. El patrón de nivel de aplicación: bucket por tenant, política RLS en la tabla storage.objects, URLs firmadas con expiración corta (5-15 minutos para documentos PHI), y nunca exponer URLs públicas a PHI ni siquiera a través de oscuridad. Audita la lectura/escritura de cada URL firmada en tu audit_log.
6. Formularios -- usa JotForm Gold por $99/mes antes de construir el tuyo
Si tu única ingesta de PHI son formularios, JotForm Gold a $99/mes incluye HIPAA sin costo adicional. Incrusta el formulario vía iframe, el PHI nunca toca tu infraestructura, y tienes almacenamiento de formularios firmado con BAA y auditado en una tarde. Construir formularios compatibles con HIPAA nativamente en Next.js + Supabase es un engagement de 2-3 semanas que JotForm resuelve por $99 mensuales. Guarda la construcción personalizada para las partes de tu producto donde el formulario por sí solo no es suficiente.JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.
Dónde Supabase es la opción incorrecta para cargas de trabajo HIPAA
- Si tu auditor requiere que cada byte de PHI viva dentro de tu propio VPC. Supabase HIPAA te da infraestructura multi-tenant con alcance de BAA; no te da aislamiento de VPC. La solución es Supabase Enterprise (presupuesto personalizado) con infraestructura dedicada, o Postgres auto-hospedado en AWS RDS o Azure bajo su BAA.
- Si necesitas cobertura FedRAMP o StateRAMP además de HIPAA. Esas certificaciones son territorio de Azure / AWS GovCloud. Supabase no tiene autorización FedRAMP a mediados de 2026.
- Si tu aplicación requiere latencia de lectura menor a 10ms en un dataset de pacientes multi-región. Supabase tiene réplicas de lectura, pero la historia multi-región aún no está al nivel de CockroachDB + Vercel Edge con replicación personalizada.
- Si tu equipo no tiene profundidad operacional en Postgres y necesitas una base de datos clínica completamente administrada con esquema suministrado por el proveedor, APIs FHIR y soporte de decisiones clínicas listos para usar. Ese es territorio de Aidbox, Health Samurai o Particle Health, no Supabase.
FAQ
¿Cuánto cuesta el BAA de Vercel HIPAA?
El Business Associate Agreement HIPAA de Vercel es un complemento de $350 por mes en el plan Pro, firmado vía clic automático en el panel sin contrato Enterprise requerido. SAML SSO es un complemento separado de $300 por mes. Combinado, una configuración de cumplimiento típica en Vercel Pro corre $650 por mes antes de costos de asientos. Enterprise (alrededor de $45,000 por año mediana) agrupa BAA, SSO y Secure Compute juntos.
¿Supabase cumple con HIPAA?
Sí, en el plan Team ($599 por mes) o plan Enterprise, más el complemento HIPAA de $350 por mes, con un Business Associate Agreement firmado ejecutado a través del panel. Los planes Supabase Free y Pro no soportan HIPAA en ninguna configuración. Almacenar PHI en un proyecto Supabase Pro sin el complemento HIPAA es una violación de HIPAA independientemente de cuán restrictivas sean tus políticas de seguridad a nivel de fila.
¿El plan Supabase Pro cumple con HIPAA?
No. Supabase Pro a $25/mes no soporta HIPAA en ninguna configuración, y Supabase no firmará un BAA en el plan Pro. Para almacenar PHI en Supabase necesitas estar en el plan Team ($599/mes) o Enterprise, más el complemento HIPAA de $350/mes. El mínimo combinado es aproximadamente $950/mes solo para la capa de base de datos, sin contar costos de usuarios.
¿El BAA de Vercel cubre Supabase, o necesito ambos?
Necesitas ambos. El BAA de Vercel cubre su hosting, runtime, edge y servicios de plataforma. El BAA de Supabase cubre la base de datos, autenticación, almacenamiento y edge functions en la infraestructura de Supabase. El BAA de cada proveedor solo cubre sus propios servicios -- no hay herencia HIPAA entre proveedores. Firma uno con cada proveedor que toque PHI, incluida cualquier API de terceros en la ruta de la solicitud.
¿Puedo usar Supabase Realtime para cargas de trabajo HIPAA?
Sí, en el plan Team con el complemento HIPAA, Supabase Realtime está incluido en el BAA. Las reglas a nivel de aplicación siguen aplicando: la seguridad a nivel de fila debe aplicarse en los canales de broadcast, tus clientes suscriptores deben autenticarse vía Supabase Auth, y los eventos de broadcast de PHI deben registrarse en tu tabla de auditoría de la misma forma que las lecturas directas de base de datos.
¿Qué pasa con pgvector e IA en Supabase HIPAA?
La funcionalidad pgvector está incluida en el BAA de Supabase. La complicación es que si incrustras PHI a vectores usando una API externa (OpenAI, Anthropic, Voyage), la llamada de incrustación sale de la infraestructura con alcance de BAA de Supabase y llega a un servicio de terceros que necesita su propio BAA. El API de OpenAI soporta HIPAA vía endpoints sin retención con un BAA desde baa@openai.com. Claude de Anthropic requiere el plan Enterprise (típicamente $50K+/año) para HIPAA. El almacenamiento de vectores en pgvector está dentro del BAA; la canalización de incrustación es tu responsabilidad de cubrir con BAA de extremo a extremo.
¿Las Supabase Edge Functions cuentan como procesamiento de PHI bajo la BAA?
Sí. Las Edge Functions en el plan Team o Enterprise con el add-on HIPAA están en alcance. El detalle: las llamadas fetch salientes desde una Edge Function a una API de terceros no están en alcance a menos que ese tercero también tenga una BAA. Si tu Edge Function llama a Stripe, Twilio o Resend, cada uno de esos proveedores necesita estar en su tier HIPAA para que la llamada sea conforme. La BAA de Supabase no se extiende a la API que la función llama.
Lecturas relacionadas
Aplicaciones compatibles con HIPAA en 2026 -- Next.js, WordPress o JotForm $99 -- el post principal en este cluster que cubre los tres caminos arquitectónicos. -- the parent post in this cluster covering all three architectural paths.
Pilas de hosting que realmente firman un BAA de HIPAA en 2026 -- comparación más amplia de hosting que incluye AWS, Azure, GCP, y los hosts específicos para WordPress que cumplen con HIPAA. -- broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.
WordPress Stack Advisor -- pega tu URL, obtén una recomendación de stack personalizada en 30 segundos. Útil si estás evaluando si tu proyecto de healthcare realmente necesita el setup completo de Next.js + Supabase o si la ruta WordPress + JotForm lo resuelve más barato. -- paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.
Si llevas seis semanas en tu aplicación de healthcare y no puedes responder «¿tu stack es compatible con HIPAA hoy?» con un simple sí, los próximos treinta minutos lo resolverán.
Reserva una llamada de stack HIPAA de 30 minutos -- describe el producto, revisa tu stack actual, sal con un camino HIPAA que sea defendible ante tu auditor y presupuestado para tu etapa. -- describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.