Si pasaste la última semana leyendo threads contradictorios en Reddit sobre si Supabase cumple HIPAA, la versión corta es sí — pero solo en el plan correcto, con el complemento correcto, y solo después de que el BAA esté firmado. La versión más larga explica por qué la mayoría de equipos se equivocan en su primer deploy y cómo debería verse realmente tu stack en 2026.
Dos hechos cambiaron el cálculo en 2025: Vercel abrió BAAs HIPAA a equipos Pro como un complemento de $350/mes, y Supabase hizo su complemento HIPAA autoservicio desde el dashboard. El costo combinado — $700/mes para la capa de plataforma — finalmente pone un stack Next.js + Supabase compatible con HIPAA defensible al alcance de equipos health-tech pre-Serie A. Antes de 2025 la misma configuración requería Vercel Enterprise (alrededor de $45K/año de mediana) y Supabase Enterprise (pricing personalizado, típicamente un nivel similar), pricing que empujaba a la mayoría de equipos early-stage a AWS o Azure en su lugar.
¿Es Supabase compatible con HIPAA en 2026?
Sí, con dos condiciones. Primero, necesitas estar en el plan Team ($599/mes) o el plan Enterprise, más el complemento HIPAA a $350/mes. Los planes Free y Pro no soportan HIPAA a ningún precio — el plan Pro de Supabase ($25/mes) no puede almacenar PHI bajo ninguna configuración. Segundo, debes tener un Business Associate Agreement (BAA) firmado con Supabase, ejecutado vía dashboard para clientes Team y Enterprise.
Almacenar PHI en un proyecto Supabase Pro sin el complemento HIPAA es una violación HIPAA independientemente de cuán bloqueadas estén tus políticas RLS. El BAA es la capa contractual que hace que los salvaguardas técnicos cuenten. Sin BAA, sin cumplimiento — la misma regla que para cualquier otro vendor en tu stack.
Qué te compra realmente el complemento HIPAA de Supabase a $350/mes
El complemento de $350 cubre cuatro cosas que tu plan Pro no tiene: un BAA firmado, controles de seguridad adicionales (auditoría de logs, IP allowlisting, cumplimiento de MFA, retención de logs), infraestructura dedicada para cargas de trabajo sensibles al cumplimiento, y acceso al conjunto de documentación de cumplimiento de Supabase requerida para tus propias auditorías.
- Encriptación en reposo con AES-256, en tránsito con TLS 1.2+ — igual que Pro, pero contractualmente limitado al BAA.
- Retención de auditoría de logs extendida para cumplir el requisito de 6 años de HIPAA para logs de acceso que tocan PHI.
- La recuperación point-in-time de base de datos y backups están incluidos en el alcance del BAA, así que restaurar desde un backup no te pone fuera del acuerdo.
- Storage buckets, Auth, Edge Functions, y Realtime están todos en alcance. Puedes usar la plataforma completa para cargas de trabajo HIPAA.
- La funcionalidad de AI / Vector (pgvector) está en alcance, pero si embeddes PHI a vectores eres responsable de la postura de encriptación de los embeddings mismos y de cualquier llamada a API de embedding externa.
El stack HIPAA completo de $700/mes: Vercel + Supabase + las partes que todavía tienes que construir
Un stack Next.js + Supabase defensible y conforme a HIPAA en 2026 cuesta $700/mes para la capa de plataforma — $350 a Vercel por el complemento Pro BAA, $350 a Supabase por el complemento HIPAA. Ese precio asume que estás en Vercel Pro y Supabase Team, que juntos cuestan aproximadamente $620/mes en base antes de los BAAs. Piso total: aproximadamente $1.320/mes, más asientos, más cualquier servicio de terceros elegible para HIPAA.
Qué cubren los BAAs de la plataforma
- Hosting (Vercel): runtime edge, Functions, ISR, optimización de imágenes, retención de logs. El plan Pro BAA NO incluye Secure Compute (redes aisladas, IPs dedicadas, VPC peering) — eso es solo Enterprise, alrededor de $45K/año en promedio.
- Base de datos, Auth, Storage, Realtime, Edge Functions (Supabase): todos cubiertos bajo el BAA.
- DNS, CDN, pipeline de build (Vercel): cubiertos.
Lo que los BAAs de la plataforma NO cubren — tu responsabilidad
- Audit logging a nivel de aplicación — cada lectura/escritura de PHI debe registrarse en tu propia tabla de auditoría o en un logger elegible para HIPAA como una Edge Function de Supabase escribiendo a un bucket con retención aislada.
- Autenticación y gestión de sesiones — Supabase Auth con BAA cubre el almacenamiento de credenciales, pero tu código de manejo de sesiones, tus verificaciones de roles y tu enforcement de timeout por inactividad son a nivel de aplicación.
- PHI en logs de error — Sentry, Datadog, LogRocket, PostHog, etc. NO están cubiertos a menos que tengas su tier HIPAA separado (la mayoría lo ofrece, todos cobran extra). El tier HIPAA de Sentry existe en el plan Business ($80+/usuario/mes). El add-on HIPAA de Datadog requiere Enterprise.
- Email — Resend, Postmark, SendGrid: cada uno tiene su propio tier HIPAA. El soporte HIPAA de Resend llegó en 2025 en el plan Pro con un BAA separado. Verifica antes de enviar recordatorios de citas o cualquier PHI por email.
- Integraciones de terceros — cada API externa que toque PHI necesita su propio BAA. Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA a $99/mes incluido), HubSpot Healthcare, etc.
Cómo desplegar un setup HIPAA-compatible Next.js + Supabase en 2026 — la secuencia práctica
1. Firma los BAAs primero, antes de escribir el schema
Configura una cuenta Vercel Pro, añade el complemento HIPAA BAA a través del panel. Configura una cuenta Supabase Team, solicita el complemento HIPAA, firma el BAA desde el panel. Ambos son acuerdos de aceptación directa — no llamadas de ventas Enterprise — y ambos deben completarse antes de que ningún PHI toque tu infraestructura. Si construyes primero y firmas después, cada byte de PHI que llegó al almacenamiento pre-BAA es una violación.
2. Diseña tu schema con aislamiento de PHI en mente
Separa columnas PHI de columnas no-PHI. Las políticas RLS deben aplicarse en cada tabla PHI, con la política predeterminada siendo denegar. Usa pgcrypto para cifrado a nivel de columna en campos altamente sensibles (SSN, códigos de diagnóstico, notas de salud mental) — el BAA cubre AES-256 en reposo, pero defensa en profundidad en los campos más sensibles es lo que tu auditor preguntará.
3. Auditoría de registro en cada acceso PHI
HIPAA requiere que registres cada lectura y escritura de PHI, y retengas los registros durante seis años. El patrón que funciona en Supabase: una tabla audit_log separada en la que cada consulta que toca PHI escribe a través de un trigger o una Edge Function. El registro de auditoría es PHI-adyacente — almacenas IDs de usuario, timestamps e IDs de paciente, pero nunca el contenido PHI mismo en la fila de auditoría. Retén el registro de auditoría bajo una política de retención separada de la base de datos operacional.
4. Autenticación con manejo de sesiones elegible para HIPAA
Supabase Auth con el complemento HIPAA está dentro del alcance del BAA. Los requisitos de nivel de aplicación siguen siendo responsabilidad tuya: sesiones con tiempo de inactividad (típicamente 15 minutos para estaciones de trabajo clínicas, 30 minutos para apps orientadas al paciente), aplicación de MFA para cuentas de clínicos, políticas de rotación de contraseña si tu auditor las requiere, y control de acceso basado en roles explícito en cada ruta protegida. Usa Next.js middleware para la verificación de sesión, no solo guardias del lado del cliente.
5. Almacenamiento para documentos e imágenes PHI
Supabase Storage con el complemento HIPAA cubre acceso mediante URL firmada, cifrado en reposo y buckets con alcance BAA. El patrón de nivel de aplicación: bucket por tenant, política RLS en la tabla storage.objects, URLs firmadas con expiración corta (5-15 minutos para documentos PHI), y nunca exponer URLs públicas a PHI ni siquiera a través de oscuridad. Audita la lectura/escritura de cada URL firmada en tu audit_log.
6. Formularios — usa JotForm Gold por $99/mes antes de construir el tuyo
Si tu única ingesta de PHI son formularios, JotForm Gold a $99/mes incluye HIPAA sin costo adicional. Incrusta el formulario vía iframe, el PHI nunca toca tu infraestructura, y tienes almacenamiento de formularios firmado con BAA y auditado en una tarde. Construir formularios compatibles con HIPAA nativamente en Next.js + Supabase es un engagement de 2-3 semanas que JotForm resuelve por $99 mensuales. Guarda la construcción personalizada para las partes de tu producto donde el formulario por sí solo no es suficiente.JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.
Dónde Supabase es la opción incorrecta para cargas de trabajo HIPAA
- Si tu auditor requiere que cada byte de PHI viva dentro de tu propio VPC. Supabase HIPAA te da infraestructura multi-tenant con alcance de BAA; no te da aislamiento de VPC. La solución es Supabase Enterprise (presupuesto personalizado) con infraestructura dedicada, o Postgres auto-hospedado en AWS RDS o Azure bajo su BAA.
- Si necesitas cobertura FedRAMP o StateRAMP además de HIPAA. Esas certificaciones son territorio de Azure / AWS GovCloud. Supabase no tiene autorización FedRAMP a mediados de 2026.
- Si tu aplicación requiere latencia de lectura menor a 10ms en un dataset de pacientes multi-región. Supabase tiene réplicas de lectura, pero la historia multi-región aún no está al nivel de CockroachDB + Vercel Edge con replicación personalizada.
- Si tu equipo no tiene profundidad operacional en Postgres y necesitas una base de datos clínica completamente administrada con esquema suministrado por el proveedor, APIs FHIR y soporte de decisiones clínicas listos para usar. Ese es territorio de Aidbox, Health Samurai o Particle Health, no Supabase.
FAQ
¿Cuánto cuesta el BAA de Vercel HIPAA?
El Business Associate Agreement HIPAA de Vercel es un complemento de $350 por mes en el plan Pro, firmado vía clic automático en el panel sin contrato Enterprise requerido. SAML SSO es un complemento separado de $300 por mes. Combinado, una configuración de cumplimiento típica en Vercel Pro corre $650 por mes antes de costos de asientos. Enterprise (alrededor de $45,000 por año mediana) agrupa BAA, SSO y Secure Compute juntos.
¿Supabase cumple con HIPAA?
Sí, en el plan Team ($599 por mes) o plan Enterprise, más el complemento HIPAA de $350 por mes, con un Business Associate Agreement firmado ejecutado a través del panel. Los planes Supabase Free y Pro no soportan HIPAA en ninguna configuración. Almacenar PHI en un proyecto Supabase Pro sin el complemento HIPAA es una violación de HIPAA independientemente de cuán restrictivas sean tus políticas de seguridad a nivel de fila.
¿El plan Supabase Pro cumple con HIPAA?
No. Supabase Pro a $25/mes no soporta HIPAA en ninguna configuración, y Supabase no firmará un BAA en el plan Pro. Para almacenar PHI en Supabase necesitas estar en el plan Team ($599/mes) o Enterprise, más el complemento HIPAA de $350/mes. El mínimo combinado es aproximadamente $950/mes solo para la capa de base de datos, sin contar costos de usuarios.
¿El BAA de Vercel cubre Supabase, o necesito ambos?
Necesitas ambos. El BAA de Vercel cubre su hosting, runtime, edge y servicios de plataforma. El BAA de Supabase cubre la base de datos, autenticación, almacenamiento y funciones edge en la infraestructura de Supabase. El BAA de cada proveedor solo cubre sus propios servicios — no hay herencia HIPAA entre proveedores. Firma uno con cada proveedor que toque PHI, incluyendo cualquier API de terceros en la ruta de la solicitud.
¿Puedo usar Supabase Realtime para cargas de trabajo HIPAA?
Sí, en el plan Team con el complemento HIPAA, Supabase Realtime está incluido en el BAA. Las reglas a nivel de aplicación siguen aplicando: la seguridad a nivel de fila debe aplicarse en los canales de broadcast, tus clientes suscriptores deben autenticarse vía Supabase Auth, y los eventos de broadcast de PHI deben registrarse en tu tabla de auditoría de la misma forma que las lecturas directas de base de datos.
¿Qué pasa con pgvector e IA en Supabase HIPAA?
La funcionalidad pgvector está incluida en el BAA de Supabase. La complicación es que si incrustras PHI a vectores usando una API externa (OpenAI, Anthropic, Voyage), la llamada de incrustación sale de la infraestructura con alcance de BAA de Supabase y llega a un servicio de terceros que necesita su propio BAA. El API de OpenAI soporta HIPAA vía endpoints sin retención con un BAA desde baa@openai.com. Claude de Anthropic requiere el plan Enterprise (típicamente $50K+/año) para HIPAA. El almacenamiento de vectores en pgvector está dentro del BAA; la canalización de incrustación es tu responsabilidad de cubrir con BAA de extremo a extremo.
¿Las Supabase Edge Functions cuentan como procesamiento de PHI bajo la BAA?
Sí. Las Edge Functions en el plan Team o Enterprise con el add-on HIPAA están en alcance. El detalle: las llamadas fetch salientes desde una Edge Function a una API de terceros no están en alcance a menos que ese tercero también tenga una BAA. Si tu Edge Function llama a Stripe, Twilio o Resend, cada uno de esos proveedores necesita estar en su tier HIPAA para que la llamada sea conforme. La BAA de Supabase no se extiende a la API que la función llama.
Lecturas relacionadas
Aplicaciones compatibles con HIPAA en 2026 — Next.js, WordPress o JotForm $99 — el post principal en este grupo que cubre los tres caminos arquitectónicos. — the parent post in this cluster covering all three architectural paths.
Stacks de hosting que realmente firman una BAA HIPAA en 2026 — comparación más amplia de hosting incluyendo AWS, Azure, GCP y los hosts HIPAA específicos para WordPress. — broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.
WordPress Stack Advisor — pega tu URL, obtén una recomendación de stack personalizada en 30 segundos. Útil si estás evaluando si tu brief de healthcare realmente necesita el setup completo de Next.js + Supabase o si el camino de WordPress + JotForm lo resuelve más barato. — paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.
Si llevas seis semanas en tu aplicación de healthcare y no puedes responder «¿tu stack es compatible con HIPAA hoy?» con un simple sí, los próximos treinta minutos lo resolverán.
Agenda una llamada HIPAA stack de 30 minutos — describe el producto, recorre tu stack actual, termina con un camino HIPAA que sea defendible ante tu auditor y presupuestado para tu etapa. — describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.