HIPAA-compliant Supabase + Vercel 2026: $700/month BAA setup

यदि आप पिछले सप्ताह Reddit पर इस बारे में विरोधाभासी थ्रेड्स पढ़ रहे हैं कि Supabase HIPAA-compliant है या नहीं, तो संक्षिप्त जवाब है हाँ -- लेकिन केवल सही plan पर, सही add-on के साथ, और केवल BAA के साइन होने के बाद। लंबा जवाब समझाता है कि अधिकतर टीमें अपनी पहली deploy पर यह गलत क्यों करती हैं और 2026 में आपके stack को वास्तव में कैसा दिखना चाहिए।Supabase is HIPAA-compliant, the short version is yes -- but only on the right plan, with the right add-on, and only after the BAA is signed. The longer version explains why most teams get this wrong on their first deploy and what your stack actually needs to look like in 2026.

2025 में दो बातों ने इसका गणित बदल दिया: Vercel ने HIPAA BAAs को Pro टीमों के लिए $350/महीना add-on के रूप में खोला, और Supabase ने अपना HIPAA add-on dashboard से self-serve बना दिया। संयुक्त लागत -- platform layer के लिए $700/महीना -- अंत में एक defensible HIPAA-compliant Next.js + Supabase stack को pre-Series-A health-tech टीमों की पहुँच में ले आई है। 2025 से पहले वही setup को Vercel Enterprise (लगभग $45K/साल median) और Supabase Enterprise (कस्टम pricing, आमतौर पर similar tier) की जरूरत थी, जिससे अधिकतर early-stage टीमें AWS या Azure की ओर चली गईं।Vercel opened HIPAA BAAs to Pro teams as a $350/month add-on, and Supabase made its HIPAA add-on self-serve from the dashboard. The combined cost -- $700/month for the platform layer -- finally puts a defensible HIPAA-compliant Next.js + Supabase stack in reach of pre-Series-A health-tech teams. Before 2025 the same setup required Vercel Enterprise (around $45K/year median) and Supabase Enterprise (custom pricing, typically a similar tier), pricing most early-stage teams onto AWS or Azure instead.

2026 में Supabase HIPAA compliant है?

हाँ, दो शर्तों के साथ। पहली, आप Team plan ($599/महीना) या Enterprise plan पर होने चाहिए, साथ ही HIPAA add-on $350/महीना पर। Free और Pro plans किसी भी कीमत पर HIPAA को support नहीं करते -- Supabase का Pro plan ($25/महीना) किसी भी configuration में PHI store नहीं कर सकता। दूसरा, आपके पास Supabase के साथ एक signed Business Associate Agreement (BAA) होना चाहिए, जो Team और Enterprise customers के लिए dashboard के माध्यम से execute किया जाता है।

Supabase Pro project में HIPAA add-on के बिना PHI store करना एक HIPAA violation है, चाहे आपकी RLS policies कितनी भी locked-down हों। BAA contractual layer है जो technical safeguards को count करता है। कोई BAA नहीं, कोई compliance नहीं -- वही rule जो आपके stack में हर दूसरे vendor के लिए है।

Supabase HIPAA ऐड-ऑन वास्तव में आपको $350/माह में क्या देता है

$350 ऐड-ऑन चार चीजें कवर करता है जो आपकी Pro प्लान में नहीं हैं: एक हस्ताक्षरित BAA, अतिरिक्त सुरक्षा नियंत्रण (ऑडिट लॉगिंग, IP allow-listing, MFA प्रवर्तन, लॉग प्रतिधारण), अनुपालन-संवेदनशील वर्कलोड के लिए समर्पित बुनियादी ढांचा, और आपके अपने ऑडिट के लिए आवश्यक Supabase के अनुपालन दस्तावेज़ सेट तक पहुंच।

AES-256 के साथ rest में encryption, TLS 1.2+ के साथ transit में -- Pro के समान है, लेकिन BAA के तहत contractually scoped है।
ऑडिट लॉग प्रतिधारण विस्तारित है ताकि HIPAA की PHI को छूने वाले access लॉग के लिए 6-वर्ष की आवश्यकता को पूरा किया जा सके।
डेटाबेस point-in-time रिकवरी और बैकअप BAA के दायरे में शामिल हैं, इसलिए बैकअप से restore करना आपको समझौते के बाहर नहीं रखता।
Storage buckets, Auth, Edge Functions, और Realtime सभी दायरे में हैं। आप HIPAA वर्कलोड के लिए पूरे प्लेटफॉर्म का उपयोग कर सकते हैं।
AI / Vector कार्यक्षमता (pgvector) दायरे में है, लेकिन अगर आप PHI को vectors में एम्बेड करते हैं तो आप embeddings के encryption posture के लिए जिम्मेदार हैं और किसी भी बाहरी embedding API कॉल के लिए।

पूरा $700/माह HIPAA स्टैक: Vercel + Supabase + जो हिस्से आपको अभी भी build करने हैं

2026 में एक defensible HIPAA-compliant Next.js + Supabase stack की लागत platform layer के लिए $700/महीना है -- Vercel को Pro BAA add-on के लिए $350, Supabase को HIPAA add-on के लिए $350। यह कीमत मानती है कि आप Vercel Pro और Supabase Team पर हैं, जो base पर मिलकर लगभग $620/महीना की लागत है। कुल floor: लगभग $1,320/महीना, साथ ही seats, साथ ही कोई भी HIPAA-eligible third-party services।

प्लेटफॉर्म BAA क्या कवर करते हैं

Hosting (Vercel): Edge runtime, Functions, ISR, image optimisation, log retention। Pro BAA में Secure Compute शामिल नहीं है (isolated networks, dedicated IPs, VPC peering) -- यह केवल Enterprise-only है लगभग $45K/साल median पर।
Database, Auth, Storage, Realtime, Edge Functions (Supabase): सभी BAA के दायरे में हैं।
DNS, CDN, build pipeline (Vercel): दायरे में हैं।

जो platform BAAs cover नहीं करते -- आपकी जिम्मेदारी

Application layer पर audit logging -- हर PHI read/write को आपके स्वयं की audit table में या एक external HIPAA-eligible logger जैसे कि एक Supabase Edge Function को एक अलग retention-isolated bucket में लिखना होता है।
Authentication और session management -- BAA के साथ Supabase Auth credentials के storage को cover करता है, लेकिन आपका session-handling code, आपके role checks, और आपका idle-timeout enforcement application-layer हैं।
त्रुटि लॉग में PHI -- Sentry, Datadog, LogRocket, PostHog, आदि को शामिल नहीं माना जाता जब तक आपके पास उनका अलग HIPAA tier न हो (ज्यादातर के पास होता है, सभी अतिरिक्त शुल्क लेते हैं)। Sentry HIPAA tier Business plan ($80+/seat/month) पर मौजूद है। Datadog HIPAA add-on के लिए Enterprise की जरूरत है।
ईमेल -- Resend, Postmark, SendGrid: प्रत्येक के पास अपना HIPAA tier है। Resend HIPAA support 2025 में Pro plan पर आया, अलग BAA के साथ। appointment reminders या किसी भी PHI को ईमेल में भेजने से पहले सत्यापित करें।
तीसरे पक्ष की integrations -- हर बाहरी API जो PHI को छूता है, उसे अपना BAA चाहिए। Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA $99/month में शामिल), HubSpot Healthcare, आदि।

HIPAA-compliant Next.js + Supabase setup को 2026 में ship करना -- व्यावहारिक क्रम

1. BAA को पहले साइन करें, फिर स्कीमा लिखें

एक Vercel Pro account सेट करें, dashboard के माध्यम से HIPAA BAA add-on जोड़ें। एक Supabase Team account सेट करें, HIPAA add-on के लिए अनुरोध करें, dashboard से BAA पर हस्ताक्षर करें। दोनों click-through agreements हैं -- Enterprise sales calls नहीं -- और दोनों को PHI आपके infrastructure को छूने से पहले पूरा होना चाहिए। अगर आप पहले बनाते हैं और बाद में sign करते हैं, तो प्री-BAA storage में आया हर PHI byte एक violation है।

2. PHI अलगाव को ध्यान में रखकर अपना स्कीमा डिजाइन करें

PHI columns को non-PHI columns से अलग करें। RLS policies को हर PHI table पर enforce किया जाना चाहिए, default policy deny के साथ। pgcrypto का उपयोग अत्यधिक संवेदनशील fields (SSN, diagnosis codes, mental-health notes) पर column-level encryption के लिए करें -- BAA rest पर AES-256 को कवर करता है, लेकिन सबसे संवेदनशील fields पर defence-in-depth वह है जो आपका auditor पूछेगा।

3. हर PHI एक्सेस पर Audit लॉगिंग

HIPAA को PHI के हर read और write को log करना आवश्यक है, और logs को छह साल के लिए retain करना है। Supabase में जो pattern काम करती है: एक अलग audit_log table जिसमें हर PHI-touching query एक trigger या Edge Function के माध्यम से write करता है। audit log स्वयं PHI-adjacent है -- आप user IDs, timestamps, और patient IDs store करते हैं, लेकिन audit row में कभी PHI content नहीं। operational database से एक अलग retention policy पर audit log को retain करें।

4. HIPAA-eligible सेशन हैंडलिंग के साथ Authentication

HIPAA ऐड-ऑन के साथ Supabase Auth BAA के तहत scope में है। application-layer आवश्यकताएं अभी भी आप पर हैं: idle-timeout सेशन (आमतौर पर clinical workstations के लिए 15 मिनट, patient-facing ऐप्स के लिए 30 मिनट), clinician खातों के लिए MFA enforcement, password rotation नीतियां यदि आपका auditor उन्हें आवश्यक मानता है, और हर protected route पर explicit role-based access control। सेशन चेक के लिए Next.js middleware का उपयोग करें, केवल client-side guards नहीं।

5. PHI दस्तावेज़ और इमेज के लिए Storage

HIPAA ऐड-ऑन के साथ Supabase Storage signed-URL एक्सेस, rest में एन्क्रिप्शन, और BAA-scoped buckets को कवर करता है। application-layer पैटर्न: प्रति tenant बकेट, storage.objects टेबल पर RLS policy, PHI दस्तावेज़ों के लिए कम expiry के साथ signed URLs (5-15 मिनट), और कभी भी obscurity के माध्यम से भी PHI के लिए public URLs को expose न करना। हर signed URL के read/write को अपने audit_log में audit करें।

Forms -- $99/month के लिए JotForm Gold का उपयोग करें अपना खुद का बनाने से पहले

अगर आपका एकमात्र PHI इनटेक फॉर्म्स है, तो JotForm Gold $99/माह पर कोई अतिरिक्त लागत के बिना HIPAA शामिल करता है। फॉर्म को iframe के माध्यम से embed करें, PHI कभी आपके infrastructure को नहीं छूता है, और आप कुछ घंटों में signed-BAA, audit-logged फॉर्म स्टोरेज पा सकते हैं। Next.js + Supabase में HIPAA-compliant फॉर्म्स को नेटिवली बनाना एक 2-3 हफ्ते की engagement है जिसे JotForm $99 मासिक में solve करता है। कस्टम build को उन product के parts के लिए बचाएं जहां अकेला फॉर्म काफी नहीं है।JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.

HIPAA workloads के लिए Supabase कहां गलत है

अगर आपके auditor को हर PHI byte को अपने VPC के अंदर रहने की जरूरत है। Supabase HIPAA आपको BAA-scoped multi-tenant infrastructure देता है; यह आपको VPC isolation नहीं देता। हल Supabase Enterprise (custom quote) dedicated infrastructure के साथ है, या Postgres को AWS RDS या Azure पर self-hosted करें उनके BAA के तहत।
अगर आपको HIPAA के अतिरिक्त FedRAMP या StateRAMP coverage की जरूरत है। ये certifications Azure / AWS GovCloud के क्षेत्र हैं। mid-2026 तक Supabase के पास FedRAMP authorisation नहीं है।
अगर आपकी application को multi-region patient dataset पर sub-10ms read latency की जरूरत है। Supabase के पास read replicas हैं, लेकिन multi-region की कहानी अभी तक CockroachDB + Vercel Edge with custom replication के level पर नहीं है।
अगर आपकी team के पास zero Postgres operational depth है और आपको vendor-supplied schema, FHIR APIs, और clinical decision support के साथ एक fully-managed clinical database की जरूरत है। वह Aidbox, Health Samurai, या Particle Health का क्षेत्र है, Supabase का नहीं।

FAQ

Vercel HIPAA BAA की कीमत कितनी है?

Vercel का HIPAA Business Associate Agreement Pro plan पर $350 प्रति माह का add-on है, जो dashboard में self-serve click-through के माध्यम से कोई Enterprise contract के बिना sign किया जाता है। SAML SSO एक अलग $300 प्रति माह add-on है। मिलाकर, Vercel Pro पर एक typical compliance setup seat costs से पहले $650 प्रति माह चलता है। Enterprise (लगभग $45,000 प्रति year median) BAA, SSO, और Secure Compute को एक साथ bundle करता है।

क्या Supabase HIPAA compliant है?

हाँ, Team plan ($599 प्रति माह) या Enterprise plan पर, साथ ही $350 प्रति माह HIPAA add-on के साथ, और dashboard के माध्यम से एक हस्ताक्षरित Business Associate Agreement के साथ। Supabase Free और Pro plans किसी भी configuration में HIPAA को support नहीं करते। Supabase Pro project में HIPAA add-on के बिना PHI store करना एक HIPAA violation है, चाहे आपकी row-level security policies कितनी भी locked-down हों।

क्या Supabase Pro plan HIPAA compliant है?

नहीं। Supabase Pro $25/माह पर किसी भी configuration में HIPAA को support नहीं करता, और Supabase Pro plan पर BAA पर हस्ताक्षर नहीं करेगा। Supabase पर PHI store करने के लिए आपको Team plan ($599/माह) या Enterprise पर होना चाहिए, साथ ही $350/माह HIPAA add-on के साथ। combined floor अकेले database layer के लिए लगभग $950/माह है, किसी भी seat costs से पहले।

क्या Vercel BAA Supabase को cover करता है, या मुझे दोनों की जरूरत है?

आपको दोनों चाहिए। Vercel का BAA उनकी hosting, runtime, edge, और platform services को cover करता है। Supabase का BAA database, auth, storage, और Supabase के infrastructure पर edge functions को cover करता है। प्रत्येक vendor का BAA केवल उनकी अपनी services को cover करता है -- कोई cross-vendor HIPAA inheritance नहीं है। प्रत्येक vendor के साथ sign करें जो PHI को छूता है, request path में किसी भी third-party API सहित।

क्या मैं HIPAA workloads के लिए Supabase Realtime use कर सकता हूँ?

हाँ, Team plan पर HIPAA add-on के साथ, Supabase Realtime BAA के तहत in scope है। Application-layer rules अभी भी apply होते हैं: row-level security को broadcast channels पर enforce किया जाना चाहिए, आपके subscriber clients को Supabase Auth के माध्यम से authenticate करना चाहिए, और PHI broadcast events को आपकी audit table में वैसे ही log करना चाहिए जैसे direct database reads।

pgvector और Supabase पर AI के बारे में क्या?

pgvector functionality Supabase BAA के तहत in scope है। बात यह है कि अगर आप किसी external API (OpenAI, Anthropic, Voyage) का use करके PHI को vectors में embed करते हैं, तो embedding call Supabase के BAA-scoped infrastructure को छोड़ देता है और एक third-party service पर जाता है जिसे अपने BAA की जरूरत है। OpenAI का API zero-retention endpoints के माध्यम से HIPAA को support करता है baa@openai.com से एक BAA के साथ। Anthropic का Claude HIPAA के लिए Enterprise plan की जरूरत है (आमतौर पर $50K+/year)। pgvector में vector storage BAA-scoped है; embedding pipeline आपकी जिम्मेदारी है BAA को end-to-end करने के लिए।

क्या Supabase Edge Functions BAA के तहत PHI प्रोसेसिंग में गिनते हैं?

हाँ। Team या Enterprise प्लान पर Edge Functions, जिनके पास HIPAA ऐड-ऑन है, scope में आते हैं। लेकिन यह है: Edge Function से किसी third-party API को भेजे गए outbound fetch कॉल scope में नहीं आते जब तक वह third party के पास भी BAA न हो। अगर आपका Edge Function Stripe, Twilio, या Resend को कॉल करता है, तो कॉल compliant होने के लिए इनमें से हर vendor को अपने HIPAA tier पर होना चाहिए। Supabase BAA उस API तक chain नहीं करता जिसे function कॉल करता है।

Pick your view

HIPAA-compliant Supabase + Vercel in 2026: $700/month की setup जो असल में काम करती है