hipaa-compliant-supabase-vercel-2026.html
< BACK Image hero pour Supabase + Vercel conformes à la HIPAA en 2026 : la configuration à 700 $/mois qui fonctionne réellement

Supabase + Vercel conformes à la HIPAA en 2026 : la configuration à 700 $/mois qui fonctionne réellement

Si vous avez passé la dernière semaine à lire des threads Reddit contradictoires sur le fait que Supabase soit conforme à la HIPAA, la version courte est oui -- mais seulement avec le bon plan, le bon module complémentaire, et seulement après la signature du BAA. La version longue explique pourquoi la plupart des équipes se trompent sur ce point lors de leur premier déploiement et à quoi votre stack doit vraiment ressembler en 2026.Supabase is HIPAA-compliant, the short version is yes -- but only on the right plan, with the right add-on, and only after the BAA is signed. The longer version explains why most teams get this wrong on their first deploy and what your stack actually needs to look like in 2026.

Deux faits ont changé le calcul sur ce point en 2025 : Vercel a ouvert les BAA HIPAA aux équipes Pro avec un module complémentaire à 350 $/mois, et Supabase a rendu son module complémentaire HIPAA accessible en libre-service depuis le tableau de bord. Le coût combiné -- 700 $/mois pour la couche plateforme -- rend enfin un stack Next.js + Supabase conforme à la HIPAA accessible aux équipes de santé-tech pré-Series-A. Avant 2025, la même configuration nécessitait Vercel Enterprise (autour de 45 000 $/an en médiane) et Supabase Enterprise (tarification personnalisée, généralement un niveau similaire), un tarif qui poussait la plupart des jeunes équipes vers AWS ou Azure.Vercel opened HIPAA BAAs to Pro teams as a $350/month add-on, and Supabase made its HIPAA add-on self-serve from the dashboard. The combined cost -- $700/month for the platform layer -- finally puts a defensible HIPAA-compliant Next.js + Supabase stack in reach of pre-Series-A health-tech teams. Before 2025 the same setup required Vercel Enterprise (around $45K/year median) and Supabase Enterprise (custom pricing, typically a similar tier), pricing most early-stage teams onto AWS or Azure instead.

Supabase est-il conforme à la HIPAA en 2026 ?

Oui, sous deux conditions. Premièrement, vous devez être sur le plan Team (599 $/mois) ou le plan Enterprise, plus le module complémentaire HIPAA à 350 $/mois. Les plans Free et Pro ne supportent pas la HIPAA à aucun prix -- le plan Pro de Supabase (25 $/mois) ne peut pas stocker de PHI sous aucune configuration. Deuxièmement, vous devez avoir un accord d'associé commercial (BAA) signé avec Supabase, exécuté via le tableau de bord pour les clients Team et Enterprise.

Stocker de la PHI dans un projet Supabase Pro sans le module complémentaire HIPAA constitue une violation de la HIPAA indépendamment de la solidité de vos politiques RLS. Le BAA est la couche contractuelle qui rend les mesures de sécurité techniques pertinentes. Pas de BAA, pas de conformité -- la même règle que pour tous les autres fournisseurs de votre stack.

Ce que l'add-on HIPAA de Supabase vous apporte réellement à 350 $/mois

L'add-on à 350 $ couvre quatre choses que votre plan Pro n'a pas : un BAA signé, des contrôles de sécurité supplémentaires (audit logging, IP allow-listing, MFA enforcement, log retention), une infrastructure dédiée pour les workloads sensibles à la conformité, et l'accès à la documentation de conformité de Supabase requise pour vos propres audits.

  • Chiffrement au repos avec AES-256, en transit avec TLS 1.2+ -- identique à Pro, mais contractuellement limité par le BAA.
  • Conservation des audit logs étendue pour respecter l'exigence HIPAA de 6 ans pour les logs d'accès touchant les PHI.
  • La récupération ponctuelle de la base de données et les sauvegardes sont couvertes par le BAA, donc une restauration à partir d'une sauvegarde ne vous place pas en dehors de l'accord.
  • Les Storage buckets, Auth, Edge Functions et Realtime sont tous couverts. Vous pouvez utiliser la plateforme complète pour les workloads HIPAA.
  • La fonctionnalité AI / Vector (pgvector) est couverte, mais si vous incorporez des PHI aux vecteurs, vous êtes responsable de la posture de chiffrement des embeddings eux-mêmes et de tous les appels externes à une API d'embedding.

La pile HIPAA complète de 700 $/mois : Vercel + Supabase + les pièces que vous devez toujours construire

Un stack Next.js + Supabase conforme à la HIPAA défendable en 2026 coûte 700 $/mois pour la couche plateforme -- 350 $ à Vercel pour le module complémentaire Pro BAA, 350 $ à Supabase pour le module complémentaire HIPAA. Ce prix suppose que vous êtes sur Vercel Pro et Supabase Team, qui coûtent ensemble environ 620 $/mois avant les BAA. Minimum : environ 1 320 $/mois, plus les postes, plus tout service tiers éligible à la HIPAA.

Ce que les BAAs de plateforme couvrent

  • Hébergement (Vercel) : runtime Edge, Functions, ISR, optimisation d'images, conservation des journaux. Le Pro BAA n'inclut PAS Secure Compute (réseaux isolés, adresses IP dédiées, peering VPC) -- c'est réservé à Enterprise à environ 45 000 $/an en médiane.
  • Base de données, Auth, Storage, Realtime, Edge Functions (Supabase) : tout est couvert par le BAA.
  • DNS, CDN, pipeline de build (Vercel) : couvert.

Ce que les BAA de plateforme ne couvrent PAS -- votre responsabilité

  • Enregistrement d'audit au niveau de l'application -- chaque lecture/écriture de PHI doit aboutir dans votre propre table d'audit ou vers un enregistreur éligible à la HIPAA comme une Supabase Edge Function écrivant dans un bucket à rétention isolée.
  • Authentification et gestion des sessions -- Supabase Auth avec le BAA couvre le stockage des identifiants, mais votre code de gestion des sessions, vos vérifications de rôles et l'application de votre délai d'inactivité sont au niveau de l'application.
  • PHI dans les journaux d'erreurs -- Sentry, Datadog, LogRocket, PostHog, etc. ne sont PAS couverts à moins que vous n'ayez leur tier HIPAA séparé (la plupart l'offrent, tous facturent un supplément). Le tier HIPAA de Sentry existe au plan Business ($80+/siège/mois). L'add-on HIPAA de Datadog nécessite Enterprise.
  • Email -- Resend, Postmark, SendGrid : chacun a son propre tier HIPAA. Le support HIPAA de Resend est arrivé en 2025 sur le plan Pro avec un BAA séparé. Vérifiez avant d'envoyer des rappels de rendez-vous ou toute PHI par email.
  • Intégrations tierces -- chaque API externe qui touche la PHI a besoin de son propre BAA. Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA à $99/mois inclus), HubSpot Healthcare, etc.

Comment livrer une configuration Next.js + Supabase conforme HIPAA en 2026 -- la séquence pratique

1. Signez d'abord les BAA, avant d'écrire votre schéma

Configurez un compte Vercel Pro, ajoutez l'add-on HIPAA BAA via le tableau de bord. Configurez un compte Supabase Team, demandez l'add-on HIPAA, signez le BAA depuis le tableau de bord. Les deux sont des accords d'acceptation immédiate -- pas des appels commerciaux Enterprise -- et les deux doivent être faits avant que toute PHI ne touche votre infrastructure. Si vous construisez d'abord et signez plus tard, chaque octet de PHI qui a atterri dans un stockage pré-BAA est une violation.

2. Concevez votre schéma en tenant compte de l'isolement des PHI

Séparez les colonnes PHI des colonnes non-PHI. Les politiques RLS doivent être appliquées sur chaque table PHI, la politique par défaut étant deny. Utilisez pgcrypto pour le chiffrement au niveau colonne sur les champs hautement sensibles (numéro de sécurité sociale, codes de diagnostic, notes de santé mentale) -- le BAA couvre l'AES-256 au repos, mais une défense en profondeur sur les champs les plus sensibles est ce que votre auditeur demandera.

3. Journalisation d'audit pour chaque accès PHI

HIPAA vous oblige à consigner chaque lecture et écriture de PHI, et à conserver les journaux pendant six ans. Le modèle qui fonctionne dans Supabase : une table audit_log séparée vers laquelle chaque requête touchant la PHI écrit via un trigger ou une Edge Function. Le journal d'audit lui-même est adjacent à la PHI -- vous stockez les ID d'utilisateur, les timestamps et les ID de patient, mais jamais le contenu PHI lui-même dans la ligne d'audit. Conservez le journal d'audit sur une politique de rétention séparée de la base de données opérationnelle.

4. Authentification avec gestion de session éligible HIPAA

Supabase Auth avec l'extension HIPAA est couvert par le BAA. Les exigences au niveau de l'application restent à votre charge : sessions avec délai d'inactivité (généralement 15 minutes pour les postes de travail cliniques, 30 minutes pour les applications accessibles aux patients), application de l'authentification multifacteur pour les comptes cliniciens, politiques de rotation de mot de passe si votre auditeur l'exige, et contrôle d'accès basé sur les rôles explicite sur chaque route protégée. Utilisez le middleware Next.js pour la vérification de session, pas seulement des garde-fous côté client.

5. Stockage des documents et images PHI

Supabase Storage avec l'extension HIPAA couvre l'accès par URL signée, le chiffrement au repos et les buckets couverts par le BAA. Le modèle au niveau de l'application : un bucket par locataire, politique RLS sur la table storage.objects, URL signées avec expiration courte (5 à 15 minutes pour les documents PHI), et ne jamais exposer les URL publiques aux PHI même par obscurité. Auditez la lecture/écriture de chaque URL signée dans votre audit_log.

6. Formulaires -- utilisez JotForm Gold pour $99/mois avant de construire le vôtre

Si votre seule admission PHI passe par des formulaires, JotForm Gold à 99 $/mois inclut HIPAA sans frais supplémentaires. Intégrez le formulaire via iframe, les PHI ne touchent jamais votre infrastructure, et vous avez un stockage de formulaires signé-BAA et audité en un après-midi. Construire des formulaires conformes à HIPAA nativement dans Next.js + Supabase est un engagement de 2 à 3 semaines que JotForm résout pour 99 $ par mois. Réservez la construction personnalisée aux parties de votre produit où le formulaire seul ne suffit pas.JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.

Où Supabase n'est pas le bon choix pour les charges de travail HIPAA

  • Si votre auditeur exige que chaque octet de PHI réside à l'intérieur de votre propre VPC. Supabase HIPAA vous donne une infrastructure multi-tenant avec BAA ; elle ne vous donne pas l'isolation VPC. La solution est Supabase Enterprise (devis personnalisé) avec infrastructure dédiée, ou Postgres auto-hébergé sur AWS RDS ou Azure en vertu de leur BAA.
  • Si vous avez besoin de couverture FedRAMP ou StateRAMP en plus de HIPAA. Ces certifications relèvent du territoire Azure / AWS GovCloud. Supabase n'a pas d'autorisation FedRAMP à partir de mi-2026.
  • Si votre application requiert une latence de lecture inférieure à 10 ms sur un ensemble de données patients multi-régions. Supabase a des répliques de lecture, mais l'histoire multi-régions n'est pas encore au niveau de CockroachDB + Vercel Edge avec réplication personnalisée.
  • Si votre équipe a zéro profondeur opérationnelle Postgres et vous avez besoin d'une base de données clinique entièrement gérée avec schéma fourni par le fournisseur, API FHIR, et support aux décisions cliniques en standard. C'est le territoire d'Aidbox, Health Samurai, ou Particle Health, pas Supabase.

FAQ

Combien coûte Vercel HIPAA BAA ?

L'accord Business Associate Agreement HIPAA de Vercel est un complément de 350 $ par mois au plan Pro, signé via un clic d'auto-service dans le tableau de bord sans contrat Entreprise requis. SAML SSO est un complément séparé de 300 $ par mois. Combinés, une configuration de conformité typique sur Vercel Pro s'élève à 650 $ par mois avant les coûts de siège. Enterprise (environ 45 000 $ par an en médiane) regroupe BAA, SSO, et Secure Compute.

Supabase est-il conforme à la norme HIPAA ?

Oui, sur le forfait Team (599 $ par mois) ou Enterprise, plus le module complémentaire HIPAA à 350 $ par mois, avec un Business Associate Agreement signé exécuté via le tableau de bord. Les forfaits Supabase Free et Pro ne supportent pas la norme HIPAA quelle que soit la configuration. Stocker des PHI dans un projet Supabase Pro sans le module complémentaire HIPAA constitue une violation de la norme HIPAA indépendamment du verrouillage de vos politiques de sécurité au niveau des lignes.

Le forfait Supabase Pro est-il conforme à la norme HIPAA ?

Non. Supabase Pro à 25 $/mois ne supporte pas la norme HIPAA quelle que soit la configuration, et Supabase ne signera pas de BAA sur le forfait Pro. Pour stocker des PHI sur Supabase, vous devez être sur le forfait Team (599 $/mois) ou Enterprise, plus le module complémentaire HIPAA à 350 $/mois. Le plancher combiné est d'environ 950 $/mois pour la couche de base de données seule, avant les coûts de siège.

Le BAA de Vercel couvre-t-il Supabase, ou en ai-je besoin des deux ?

Vous en avez besoin des deux. Le BAA de Vercel couvre leur hébergement, runtime, edge et services de plateforme. Le BAA de Supabase couvre la base de données, l'authentification, le stockage et les edge functions sur l'infrastructure de Supabase. Le BAA de chaque fournisseur ne couvre que ses propres services -- il n'y a pas d'héritage HIPAA entre fournisseurs. Signez-en un avec chaque fournisseur qui touche la PHI, y compris toute API tierce dans le chemin de la requête.

Puis-je utiliser Supabase Realtime pour des charges de travail HIPAA ?

Oui, sur le forfait Team avec le module complémentaire HIPAA, Supabase Realtime est couvert par le BAA. Les règles au niveau applicatif s'appliquent toujours : la sécurité au niveau des lignes doit être appliquée sur les canaux de diffusion, vos clients abonnés doivent s'authentifier via Supabase Auth, et les événements de diffusion PHI doivent être enregistrés dans votre table d'audit de la même façon que les lectures directes de base de données.

Qu'en est-il de pgvector et de l'IA sur Supabase HIPAA ?

La fonctionnalité pgvector est couverte par le BAA de Supabase. Le hic est que si vous encodez des PHI en vecteurs à l'aide d'une API externe (OpenAI, Anthropic, Voyage), l'appel d'encodage quitte l'infrastructure couverte par le BAA de Supabase et arrive chez un service tiers qui a besoin de son propre BAA. L'API OpenAI supporte la norme HIPAA via des points de terminaison à rétention zéro avec un BAA obtenu auprès de baa@openai.com. Claude d'Anthropic nécessite le forfait Enterprise (généralement 50 K $/an) pour la conformité HIPAA. Le stockage vectoriel dans pgvector est couvert par le BAA ; le pipeline d'encodage relève de votre responsabilité de couvrir complètement avec un BAA.

Les Edge Functions de Supabase comptent-elles comme du traitement de PHI selon le BAA?

Oui. Les Edge Functions sur le plan Team ou Enterprise avec l'add-on HIPAA sont dans le périmètre. Le bémol: les appels fetch sortants d'une Edge Function vers une API tierce ne sont pas dans le périmètre sauf si ce tiers dispose aussi d'un BAA. Si votre Edge Function appelle Stripe, Twilio ou Resend, chacun de ces fournisseurs doit être sur son tier HIPAA pour que l'appel soit conforme. Le BAA de Supabase ne s'étend pas à l'API que la fonction appelle.

Lectures connexes

Applications conformes HIPAA en 2026 -- Next.js, WordPress, ou JotForm $99 -- le post parent dans ce cluster couvrant les trois chemins architecturaux. -- the parent post in this cluster covering all three architectural paths.

Des stacks d'hébergement qui signent réellement une BAA HIPAA en 2026 -- comparaison d'hébergement plus large incluant AWS, Azure, GCP, et les hôtes HIPAA spécifiques à WordPress. -- broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.

WordPress Stack Advisor -- collez votre URL, obtenez une recommandation de stack personnalisée en 30 secondes. Utile si vous pesez si votre cahier des charges sanitaire nécessite réellement la configuration complète Next.js + Supabase ou si la solution WordPress + JotForm la résout à moindre coût. -- paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.

Si vous êtes à six semaines de votre application healthcare et que vous ne pouvez pas répondre « votre stack est-elle conforme à HIPAA aujourd'hui » par un simple oui, les trente prochaines minutes le résoudront.

Réservez un appel HIPAA stack de 30 minutes -- décrivez le produit, parcourez votre stack actuel, repartez avec un chemin HIPAA qui est défendable auprès de votre auditeur et tarifé pour votre étape. -- describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.

< BACK