अगर आपने पिछले हफ्ते Reddit threads पढ़ने में बिताया है कि Supabase HIPAA-compliant है या नहीं, तो छोटा जवाब है हाँ — लेकिन सिर्फ सही plan पर, सही add-on के साथ, और सिर्फ तब जब BAA sign हो जाए। लंबा जवाब बताता है कि ज्यादातर teams अपने पहले deploy पर यह गलत क्यों करते हैं और 2026 में आपकी stack को असल में कैसा दिखना चाहिए।
दो तथ्यों ने 2025 में इसके calculus को बदला: Vercel ने HIPAA BAAs को Pro teams के लिए $350/month add-on के रूप में खोला, और Supabase ने अपना HIPAA add-on dashboard से self-serve बना दिया। combined cost — platform layer के लिए $700/month — आखिरकार pre-Series-A health-tech teams की पहुँच में एक defensible HIPAA-compliant Next.js + Supabase stack ले आई। 2025 से पहले same setup के लिए Vercel Enterprise (around $45K/year median) और Supabase Enterprise (custom pricing, typically एक similar tier) चाहिए था, जिससे ज्यादातर early-stage teams AWS या Azure की ओर चली जाती थीं।
2026 में Supabase HIPAA compliant है?
हाँ, दो शर्तों के साथ। पहली, आपको Team plan ($599/month) या Enterprise plan पर होना चाहिए, plus $350/month पर HIPAA add-on। Free और Pro plans किसी भी कीमत पर HIPAA support नहीं करते — Supabase का Pro plan ($25/month) किसी भी configuration में PHI store नहीं कर सकता। दूसरी, आपके पास Supabase के साथ एक signed Business Associate Agreement (BAA) होना चाहिए, जो Team और Enterprise customers के लिए dashboard से execute किया जाता है।
Supabase Pro project में HIPAA add-on के बिना PHI store करना — चाहे आपकी RLS policies कितनी भी locked-down हों — एक HIPAA violation है। BAA contractual layer है जो technical safeguards को मायने देता है। BAA नहीं, compliance नहीं — आपकी stack के हर दूसरे vendor का भी यही नियम है।
Supabase HIPAA ऐड-ऑन वास्तव में आपको $350/माह में क्या देता है
$350 ऐड-ऑन चार चीजें कवर करता है जो आपकी Pro प्लान में नहीं हैं: एक हस्ताक्षरित BAA, अतिरिक्त सुरक्षा नियंत्रण (ऑडिट लॉगिंग, IP allow-listing, MFA प्रवर्तन, लॉग प्रतिधारण), अनुपालन-संवेदनशील वर्कलोड के लिए समर्पित बुनियादी ढांचा, और आपके अपने ऑडिट के लिए आवश्यक Supabase के अनुपालन दस्तावेज़ सेट तक पहुंच।
- AES-256 के साथ rest में एन्क्रिप्शन, TLS 1.2+ के साथ transit में — Pro जैसा ही, लेकिन BAA के तहत संविदात्मक रूप से स्कोप किया गया।
- ऑडिट लॉग प्रतिधारण विस्तारित है ताकि HIPAA की PHI को छूने वाले access लॉग के लिए 6-वर्ष की आवश्यकता को पूरा किया जा सके।
- डेटाबेस point-in-time रिकवरी और बैकअप BAA के दायरे में शामिल हैं, इसलिए बैकअप से restore करना आपको समझौते के बाहर नहीं रखता।
- Storage buckets, Auth, Edge Functions, और Realtime सभी दायरे में हैं। आप HIPAA वर्कलोड के लिए पूरे प्लेटफॉर्म का उपयोग कर सकते हैं।
- AI / Vector कार्यक्षमता (pgvector) दायरे में है, लेकिन अगर आप PHI को vectors में एम्बेड करते हैं तो आप embeddings के encryption posture के लिए जिम्मेदार हैं और किसी भी बाहरी embedding API कॉल के लिए।
पूरा $700/माह HIPAA स्टैक: Vercel + Supabase + जो हिस्से आपको अभी भी build करने हैं
2026 में एक defensible HIPAA-अनुपालक Next.js + Supabase स्टैक की कीमत प्लेटफॉर्म लेयर के लिए $700/माह है — Vercel के लिए Pro BAA ऐड-ऑन के लिए $350, Supabase के लिए HIPAA ऐड-ऑन के लिए $350। यह कीमत मानती है कि आप Vercel Pro और Supabase Team पर हैं, जो BAA से पहले आधार पर लगभग $620/माह की लागत आता है। कुल floor: लगभग $1,320/माह, साथ ही seats, साथ ही कोई भी HIPAA-योग्य third-party सेवाएँ।
प्लेटफॉर्म BAA क्या कवर करते हैं
- होस्टिंग (Vercel): Edge runtime, Functions, ISR, image optimisation, log retention। Pro BAA में Secure Compute (isolated networks, dedicated IPs, VPC peering) शामिल नहीं है — यह सिर्फ Enterprise के लिए है, लगभग $45K/year median के आसपास।
- Database, Auth, Storage, Realtime, Edge Functions (Supabase): सभी BAA के दायरे में हैं।
- DNS, CDN, build pipeline (Vercel): दायरे में हैं।
Platform BAAs क्या कवर नहीं करते — आपकी जिम्मेदारी
- Audit logging application layer पर — हर PHI read/write को आपके अपने audit table में या किसी बाहरी HIPAA-eligible logger जैसे Supabase Edge Function में जाना चाहिए जो अलग retention-isolated bucket में लिखता हो।
- Authentication और session management — Supabase Auth with BAA credentials के storage को कवर करता है, लेकिन आपका session-handling code, आपके role checks, और आपका idle-timeout enforcement application-layer हैं।
- PHI error logs में — Sentry, Datadog, LogRocket, PostHog, आदि दायरे में नहीं हैं जब तक आपके पास उनके अलग HIPAA tier न हों (ज्यादातर offer करते हैं, सभी extra charge करते हैं)। Sentry HIPAA tier Business plan पर मौजूद है ($80+/seat/month)। Datadog HIPAA add-on को Enterprise की जरूरत है।
- Email — Resend, Postmark, SendGrid: हर एक का अपना HIPAA tier है। Resend HIPAA support 2025 में Pro plan पर आया है अलग BAA के साथ। Email में appointment reminders या कोई भी PHI भेजने से पहले verify करें।
- Third-party integrations — हर external API जो PHI को touch करता है उसे अपना BAA चाहिए। Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA at $99/month included), HubSpot Healthcare, आदि।
2026 में एक HIPAA-compliant Next.js + Supabase setup ship करना — व्यावहारिक क्रम
1. BAA को पहले साइन करें, फिर स्कीमा लिखें
Vercel Pro खाता सेट अप करें, डैशबोर्ड के माध्यम से HIPAA BAA ऐड-ऑन जोड़ें। Supabase Team खाता सेट अप करें, HIPAA ऐड-ऑन का अनुरोध करें, डैशबोर्ड से BAA साइन करें। दोनों क्लिक-थ्रू समझौते हैं — Enterprise सेल्स कॉल नहीं — और दोनों को किसी भी PHI के आपके इंफ्रास्ट्रक्चर को छूने से पहले पूरा किया जाना चाहिए। यदि आप पहले बिल्ड करते हैं और बाद में साइन करते हैं, तो pre-BAA स्टोरेज में आने वाला हर PHI बाइट एक उल्लंघन है।
2. PHI अलगाव को ध्यान में रखकर अपना स्कीमा डिजाइन करें
PHI कॉलम को गैर-PHI कॉलम से अलग करें। RLS नीतियां हर PHI टेबल पर लागू की जानी चाहिए, डिफ़ॉल्ट नीति deny होनी चाहिए। अत्यधिक संवेदनशील फील्ड (SSN, diagnosis कोड, mental-health नोट्स) पर कॉलम-लेवल एन्क्रिप्शन के लिए pgcrypto का उपयोग करें — BAA rest में AES-256 को कवर करता है, लेकिन सबसे संवेदनशील फील्ड पर defence-in-depth वह है जो आपका auditor पूछेगा।
3. हर PHI एक्सेस पर Audit लॉगिंग
HIPAA को हर PHI के read और write को लॉग करना आवश्यक है, और लॉग को छह साल के लिए retain करना है। Supabase में काम करने वाला पैटर्न: एक अलग audit_log टेबल जिसमें हर PHI-touching क्वेरी एक trigger या Edge Function के माध्यम से लिखती है। audit log स्वयं PHI-adjacent है — आप user IDs, timestamps, और patient IDs स्टोर करते हैं, लेकिन कभी भी audit row में PHI content स्वयं नहीं। operational database से अलग retention policy पर audit log को retain करें।
4. HIPAA-eligible सेशन हैंडलिंग के साथ Authentication
HIPAA ऐड-ऑन के साथ Supabase Auth BAA के तहत scope में है। application-layer आवश्यकताएं अभी भी आप पर हैं: idle-timeout सेशन (आमतौर पर clinical workstations के लिए 15 मिनट, patient-facing ऐप्स के लिए 30 मिनट), clinician खातों के लिए MFA enforcement, password rotation नीतियां यदि आपका auditor उन्हें आवश्यक मानता है, और हर protected route पर explicit role-based access control। सेशन चेक के लिए Next.js middleware का उपयोग करें, केवल client-side guards नहीं।
5. PHI दस्तावेज़ और इमेज के लिए Storage
HIPAA ऐड-ऑन के साथ Supabase Storage signed-URL एक्सेस, rest में एन्क्रिप्शन, और BAA-scoped buckets को कवर करता है। application-layer पैटर्न: प्रति tenant बकेट, storage.objects टेबल पर RLS policy, PHI दस्तावेज़ों के लिए कम expiry के साथ signed URLs (5-15 मिनट), और कभी भी obscurity के माध्यम से भी PHI के लिए public URLs को expose न करना। हर signed URL के read/write को अपने audit_log में audit करें।
6. फॉर्म्स — अपना खुद का बनाने से पहले JotForm Gold $99/माह के लिए इस्तेमाल करें
अगर आपका एकमात्र PHI इनटेक फॉर्म्स है, तो JotForm Gold $99/माह पर कोई अतिरिक्त लागत के बिना HIPAA शामिल करता है। फॉर्म को iframe के माध्यम से embed करें, PHI कभी आपके infrastructure को नहीं छूता है, और आप कुछ घंटों में signed-BAA, audit-logged फॉर्म स्टोरेज पा सकते हैं। Next.js + Supabase में HIPAA-compliant फॉर्म्स को नेटिवली बनाना एक 2-3 हफ्ते की engagement है जिसे JotForm $99 मासिक में solve करता है। कस्टम build को उन product के parts के लिए बचाएं जहां अकेला फॉर्म काफी नहीं है।JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.
HIPAA workloads के लिए Supabase कहां गलत है
- अगर आपके auditor को हर PHI byte को अपने VPC के अंदर रहने की जरूरत है। Supabase HIPAA आपको BAA-scoped multi-tenant infrastructure देता है; यह आपको VPC isolation नहीं देता। हल Supabase Enterprise (custom quote) dedicated infrastructure के साथ है, या Postgres को AWS RDS या Azure पर self-hosted करें उनके BAA के तहत।
- अगर आपको HIPAA के अतिरिक्त FedRAMP या StateRAMP coverage की जरूरत है। ये certifications Azure / AWS GovCloud के क्षेत्र हैं। mid-2026 तक Supabase के पास FedRAMP authorisation नहीं है।
- अगर आपकी application को multi-region patient dataset पर sub-10ms read latency की जरूरत है। Supabase के पास read replicas हैं, लेकिन multi-region की कहानी अभी तक CockroachDB + Vercel Edge with custom replication के level पर नहीं है।
- अगर आपकी team के पास zero Postgres operational depth है और आपको vendor-supplied schema, FHIR APIs, और clinical decision support के साथ एक fully-managed clinical database की जरूरत है। वह Aidbox, Health Samurai, या Particle Health का क्षेत्र है, Supabase का नहीं।
FAQ
Vercel HIPAA BAA की कीमत कितनी है?
Vercel का HIPAA Business Associate Agreement Pro plan पर $350 प्रति माह का add-on है, जो dashboard में self-serve click-through के माध्यम से कोई Enterprise contract के बिना sign किया जाता है। SAML SSO एक अलग $300 प्रति माह add-on है। मिलाकर, Vercel Pro पर एक typical compliance setup seat costs से पहले $650 प्रति माह चलता है। Enterprise (लगभग $45,000 प्रति year median) BAA, SSO, और Secure Compute को एक साथ bundle करता है।
क्या Supabase HIPAA compliant है?
हाँ, Team plan ($599 प्रति माह) या Enterprise plan पर, साथ ही $350 प्रति माह HIPAA add-on के साथ, और dashboard के माध्यम से एक हस्ताक्षरित Business Associate Agreement के साथ। Supabase Free और Pro plans किसी भी configuration में HIPAA को support नहीं करते। Supabase Pro project में HIPAA add-on के बिना PHI store करना एक HIPAA violation है, चाहे आपकी row-level security policies कितनी भी locked-down हों।
क्या Supabase Pro plan HIPAA compliant है?
नहीं। Supabase Pro $25/माह पर किसी भी configuration में HIPAA को support नहीं करता, और Supabase Pro plan पर BAA पर हस्ताक्षर नहीं करेगा। Supabase पर PHI store करने के लिए आपको Team plan ($599/माह) या Enterprise पर होना चाहिए, साथ ही $350/माह HIPAA add-on के साथ। combined floor अकेले database layer के लिए लगभग $950/माह है, किसी भी seat costs से पहले।
क्या Vercel BAA Supabase को cover करता है, या मुझे दोनों की जरूरत है?
आपको दोनों की जरूरत है। Vercel का BAA उनकी hosting, runtime, edge, और platform services को cover करता है। Supabase का BAA database, auth, storage, और Supabase के infrastructure पर edge functions को cover करता है। प्रत्येक vendor का BAA केवल उनकी अपनी services को cover करता है — कोई cross-vendor HIPAA inheritance नहीं है। प्रत्येक vendor के साथ एक sign करें जो PHI को touch करता है, including request path में कोई भी third-party API।
क्या मैं HIPAA workloads के लिए Supabase Realtime use कर सकता हूँ?
हाँ, Team plan पर HIPAA add-on के साथ, Supabase Realtime BAA के तहत in scope है। Application-layer rules अभी भी apply होते हैं: row-level security को broadcast channels पर enforce किया जाना चाहिए, आपके subscriber clients को Supabase Auth के माध्यम से authenticate करना चाहिए, और PHI broadcast events को आपकी audit table में वैसे ही log करना चाहिए जैसे direct database reads।
pgvector और Supabase पर AI के बारे में क्या?
pgvector functionality Supabase BAA के तहत in scope है। बात यह है कि अगर आप किसी external API (OpenAI, Anthropic, Voyage) का use करके PHI को vectors में embed करते हैं, तो embedding call Supabase के BAA-scoped infrastructure को छोड़ देता है और एक third-party service पर जाता है जिसे अपने BAA की जरूरत है। OpenAI का API zero-retention endpoints के माध्यम से HIPAA को support करता है baa@openai.com से एक BAA के साथ। Anthropic का Claude HIPAA के लिए Enterprise plan की जरूरत है (आमतौर पर $50K+/year)। pgvector में vector storage BAA-scoped है; embedding pipeline आपकी जिम्मेदारी है BAA को end-to-end करने के लिए।
क्या Supabase Edge Functions BAA के तहत PHI प्रोसेसिंग में गिनते हैं?
हाँ। Team या Enterprise प्लान पर Edge Functions, जिनके पास HIPAA ऐड-ऑन है, scope में आते हैं। लेकिन यह है: Edge Function से किसी third-party API को भेजे गए outbound fetch कॉल scope में नहीं आते जब तक वह third party के पास भी BAA न हो। अगर आपका Edge Function Stripe, Twilio, या Resend को कॉल करता है, तो कॉल compliant होने के लिए इनमें से हर vendor को अपने HIPAA tier पर होना चाहिए। Supabase BAA उस API तक chain नहीं करता जिसे function कॉल करता है।
संबंधित पाठ
2026 में HIPAA-compliant ऐप्स — Next.js, WordPress, या JotForm $99 — यह मुख्य पोस्ट है जो इस क्लस्टर में सभी तीन architectural paths को कवर करती है। — the parent post in this cluster covering all three architectural paths.
Hosting stacks जो 2026 में वास्तव में HIPAA BAA पर हस्ताक्षर करते हैं — AWS, Azure, GCP, और WordPress-specific HIPAA hosts सहित व्यापक hosting तुलना। — broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.
WordPress Stack Advisor — अपना URL पेस्ट करें, 30 सेकंड में tailored stack recommendation पाएँ। अगर आप यह सोच रहे हैं कि क्या आपके healthcare brief को वास्तव में पूरे Next.js + Supabase सेटअप की जरूरत है या WordPress + JotForm path इसे सस्ते में solve करता है तो उपयोगी। — paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.
अगर आप अपने healthcare app में छह हफ्ते आगे हैं और आप 'क्या आपका stack आज HIPAA-compliant है' का जवाब simply 'हाँ' से नहीं दे सकते, तो अगले तीस मिनट इसे solve कर देंगे।
30-मिनट की HIPAA stack कॉल बुक करें — product को describe करें, अपने current stack को walk through करें, एक HIPAA path के साथ निकलें जो आपके auditor के लिए defensible हो और आपके stage के लिए priced हो। — describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.