Se você passou a última semana lendo threads conflitantes no Reddit sobre se Supabase é compatível com HIPAA, a versão curta é sim — mas apenas no plano certo, com o add-on certo, e apenas depois que o BAA é assinado. A versão mais longa explica por que a maioria das equipes erra isso no primeiro deploy e como sua stack precisa realmente parecer em 2026.
Dois fatos mudaram o cálculo disso em 2025: Vercel abriu BAAs HIPAA para equipes Pro como um add-on de $350/mês, e Supabase tornou seu add-on HIPAA self-serve direto do dashboard. O custo combinado — $700/mês para a camada de plataforma — finalmente coloca uma stack Next.js + Supabase em conformidade com HIPAA defensável ao alcance de equipes de health-tech pré-Series-A. Antes de 2025 a mesma configuração exigia Vercel Enterprise (em torno de $45K/ano na mediana) e Supabase Enterprise (preço customizado, tipicamente um tier similar), preço que mandava a maioria das equipes early-stage para AWS ou Azure em vez disso.
Supabase está em conformidade com HIPAA em 2026?
Sim, com duas condições. Primeiro, você precisa estar no plano Team ($599/mês) ou no plano Enterprise, mais o add-on HIPAA por $350/mês. Os planos Free e Pro não suportam HIPAA a nenhum preço — o plano Pro ($25/mês) da Supabase não pode armazenar PHI sob nenhuma configuração. Segundo, você deve ter um Business Associate Agreement (BAA) assinado com Supabase, executado via dashboard para clientes Team e Enterprise.
Armazenar PHI em um projeto Supabase Pro sem o add-on HIPAA é uma violação de HIPAA independentemente de quão bloqueadas suas políticas de RLS estão. O BAA é a camada contratual que faz as salvaguardas técnicas contarem. Sem BAA, sem conformidade — mesma regra que todo outro vendor na sua stack.
O que o complemento HIPAA do Supabase realmente oferece por $350/mês
O complemento de $350 cobre quatro coisas que seu plano Pro não possui: um BAA assinado, controles de segurança adicionais (audit logging, IP allow-listing, MFA enforcement, log retention), infraestrutura dedicada para workloads sensíveis de compliance, e acesso ao conjunto de documentação de compliance do Supabase necessário para seus próprios audits.
- Criptografia em repouso com AES-256, em trânsito com TLS 1.2+ — igual ao Pro, mas contratualmente escopo sob o BAA.
- Retenção de audit log estendida para atender ao requisito de 6 anos do HIPAA para access logs que toquem PHI.
- Database point-in-time recovery e backups estão inclusos no escopo do BAA, então restaurar a partir de um backup não coloca você fora do acordo.
- Storage buckets, Auth, Edge Functions, e Realtime estão todos no escopo. Você pode usar a plataforma completa para workloads HIPAA.
- Funcionalidade de AI / Vector (pgvector) está no escopo, mas se você incorporar PHI a vetores você é responsável pela postura de criptografia dos embeddings em si e por qualquer chamada de API de embedding externo.
A stack HIPAA completa de $700/mês: Vercel + Supabase + as partes que você ainda precisa construir
Uma stack Next.js + Supabase defensável e compatível com HIPAA em 2026 custa $700/mês para a camada de plataforma — $350 para Vercel pelo complemento Pro BAA, $350 para Supabase pelo complemento HIPAA. Esse preço assume que você está em Vercel Pro e Supabase Team, que juntos custam aproximadamente $620/mês na base antes dos BAAs. Piso total: cerca de $1.320/mês, mais seats, mais qualquer serviço de terceiros elegível para HIPAA.
O que os BAAs da plataforma cobrem
- Hospedagem (Vercel): Edge runtime, Functions, ISR, otimização de imagens, retenção de logs. Pro BAA NÃO inclui Secure Compute (redes isoladas, IPs dedicados, VPC peering) — isso é apenas Enterprise por volta de $45K/ano na mediana.
- Database, Auth, Storage, Realtime, Edge Functions (Supabase): tudo dentro do escopo do BAA.
- DNS, CDN, pipeline de build (Vercel): dentro do escopo.
O que os BAAs da plataforma NÃO cobrem — sua responsabilidade
- Audit logging na camada de aplicação — cada leitura/escrita de PHI precisa registrar em sua própria tabela de auditoria ou em um logger HIPAA-elegível externo como uma Supabase Edge Function escrevendo em um bucket com retenção isolada.
- Autenticação e gerenciamento de sessão — Supabase Auth com o BAA cobre o armazenamento de credenciais, mas seu código de tratamento de sessão, suas verificações de role e sua aplicação de timeout de inatividade são da camada de aplicação.
- PHI em logs de erro — Sentry, Datadog, LogRocket, PostHog, etc. NÃO estão no escopo a menos que você tenha sua tier HIPAA separada (a maioria oferece, todas cobram extra). Tier HIPAA do Sentry existe no plano Business ($80+/seat/mês). HIPAA add-on do Datadog requer Enterprise.
- Email — Resend, Postmark, SendGrid: cada um tem sua própria tier HIPAA. Suporte HIPAA do Resend chegou em 2025 no plano Pro com um BAA separado. Verifique antes de enviar lembretes de consultas ou qualquer PHI por email.
- Integrações de terceiros — toda API externa que toca PHI precisa de seu próprio BAA. Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA a $99/mês incluído), HubSpot Healthcare, etc.
Como entregar um setup Next.js + Supabase compatível com HIPAA em 2026 — a sequência prática
1. Assine os BAAs primeiro, antes de escrever o schema
Configure uma conta Vercel Pro, adicione o complemento HIPAA BAA através do painel. Configure uma conta Supabase Team, solicite o complemento HIPAA, assine o BAA no painel. Ambos são acordos de click-through — não chamadas de vendas Enterprise — e ambos devem ser feitos antes de qualquer PHI tocar sua infraestrutura. Se você construir primeiro e assinar depois, cada byte de PHI que chegou no armazenamento pré-BAA é uma violação.
2. Projete seu schema com isolamento de PHI em mente
Separe colunas PHI de colunas não-PHI. Políticas RLS devem ser aplicadas em todas as tabelas PHI, com a política padrão sendo negar. Use pgcrypto para criptografia em nível de coluna em campos altamente sensíveis (SSN, códigos de diagnóstico, notas de saúde mental) — o BAA cobre AES-256 em repouso, mas defesa em profundidade nos campos mais sensíveis é o que seu auditor vai perguntar.
3. Auditoria em cada acesso a PHI
HIPAA exige que você registre toda leitura e escrita de PHI, e retenha os logs por seis anos. O padrão que funciona no Supabase: uma tabela audit_log separada para a qual toda query que toca PHI escreve via um trigger ou uma Edge Function. O log de auditoria é adjacente a PHI — você armazena IDs de usuário, timestamps e IDs de paciente, mas nunca o conteúdo PHI em si na linha de auditoria. Retenha o log de auditoria em uma política de retenção separada do banco de dados operacional.
4. Autenticação com manipulação de sessão elegível para HIPAA
Supabase Auth com o complemento HIPAA está dentro do escopo do BAA. Os requisitos na camada de aplicação ainda estão em você: sessões com timeout de inatividade (tipicamente 15 minutos para estações clínicas, 30 minutos para aplicativos voltados para pacientes), aplicação de MFA em contas de clínicos, políticas de rotação de senha se seu auditor exigir, e controle de acesso explícito baseado em função em cada rota protegida. Use middleware Next.js para a verificação de sessão, não apenas guards do lado do cliente.
5. Armazenamento para documentos e imagens PHI
Supabase Storage com o complemento HIPAA cobre acesso via URL assinada, criptografia em repouso e buckets com escopo BAA. O padrão na camada de aplicação: bucket por tenant, política RLS na tabela storage.objects, URLs assinadas com validade curta (5-15 minutos para documentos PHI), e nunca expor URLs públicas para PHI mesmo através de obscuridade. Audite a leitura/escrita de cada URL assinada no seu audit_log.
6. Formulários — use JotForm Gold por $99/mês antes de construir o seu próprio
Se sua única ingestão de PHI for através de formulários, JotForm Gold a $99/mês inclui HIPAA sem custo adicional. Incorpore o formulário via iframe, o PHI nunca toca sua infraestrutura, e você tem armazenamento com BAA assinado e auditado em uma tarde. Construir formulários compatíveis com HIPAA nativamente em Next.js + Supabase é um engajamento de 2-3 semanas que JotForm resolve por $99 mensais. Guarde o desenvolvimento customizado para as partes do seu produto onde o formulário sozinho não é suficiente.JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.
Onde Supabase é a escolha errada para cargas de trabalho HIPAA
- Se seu auditor exigir que cada byte de PHI viva dentro de seu próprio VPC. Supabase HIPAA oferece infraestrutura multi-tenant no escopo da BAA; não oferece isolamento de VPC. A solução é Supabase Enterprise (cotação customizada) com infraestrutura dedicada, ou Postgres auto-hospedado em AWS RDS ou Azure sob sua BAA.
- Se você precisa de cobertura FedRAMP ou StateRAMP além de HIPAA. Essas certificações são território de Azure / AWS GovCloud. Supabase não tem autorização FedRAMP em meados de 2026.
- Se sua aplicação requer latência de leitura sub-10ms em um dataset de pacientes multi-região. Supabase tem read replicas, mas a história multi-região ainda não está no nível de CockroachDB + Vercel Edge com replicação customizada.
- Se seu time tem zero profundidade operacional em Postgres e você precisa de um banco de dados clínico totalmente gerenciado com schema fornecido pelo vendedor, APIs FHIR, e suporte clínico à decisão pronto para usar. Esse é território de Aidbox, Health Samurai, ou Particle Health, não Supabase.
FAQ
Quanto custa o BAA HIPAA da Vercel?
O Business Associate Agreement HIPAA da Vercel é um complemento de $350 por mês no plano Pro, assinado via clique de auto-serviço no dashboard sem necessidade de contrato Enterprise. SAML SSO é um complemento separado de $300 por mês. Combinados, uma configuração de conformidade típica em Vercel Pro custa $650 por mês antes dos custos de assentos. Enterprise (em torno de $45.000 por ano em mediana) agrupa BAA, SSO, e Secure Compute.
O Supabase está em conformidade com a HIPAA?
Sim, no plano Team ($599 por mês) ou plano Enterprise, mais o add-on HIPAA de $350 por mês, com um Business Associate Agreement assinado executado via dashboard. Os planos Supabase Free e Pro não suportam HIPAA em nenhuma configuração. Armazenar PHI em um projeto Supabase Pro sem o add-on HIPAA é uma violação da HIPAA independentemente de quão restritivas sejam suas políticas de segurança em nível de linha.
O plano Supabase Pro está em conformidade com a HIPAA?
Não. Supabase Pro a $25/mês não suporta HIPAA em nenhuma configuração, e o Supabase não assinará um BAA no plano Pro. Para armazenar PHI no Supabase você precisa estar no plano Team ($599/mês) ou Enterprise, mais o add-on HIPAA de $350/mês. O piso combinado é aproximadamente $950/mês apenas para a camada de banco de dados, antes de qualquer custo de assentos.
O BAA do Vercel cobre o Supabase, ou preciso de ambos?
Você precisa de ambos. O BAA do Vercel cobre sua hospedagem, runtime, edge e serviços de plataforma. O BAA do Supabase cobre o banco de dados, autenticação, armazenamento e edge functions na infraestrutura do Supabase. O BAA de cada fornecedor cobre apenas seus próprios serviços — não há herança HIPAA entre fornecedores. Assine um com cada fornecedor que toca em PHI, incluindo qualquer API de terceiros no caminho da requisição.
Posso usar Supabase Realtime para cargas de trabalho HIPAA?
Sim, no plano Team com o add-on HIPAA, o Supabase Realtime está no escopo do BAA. As regras de camada de aplicação ainda se aplicam: segurança em nível de linha deve ser executada nos canais de broadcast, seus clientes assinantes devem autenticar via Supabase Auth, e eventos de broadcast PHI devem ser registrados em sua tabela de auditoria da mesma forma que leituras diretas de banco de dados.
E quanto a pgvector e IA no Supabase HIPAA?
A funcionalidade pgvector está no escopo do BAA do Supabase. O porém é que se você incorporar PHI em vetores usando uma API externa (OpenAI, Anthropic, Voyage), a chamada de incorporação sai da infraestrutura com escopo BAA do Supabase e chega a um serviço de terceiros que precisa de seu próprio BAA. A API do OpenAI suporta HIPAA via endpoints de retenção zero com um BAA de baa@openai.com. Claude do Anthropic requer o plano Enterprise (tipicamente $50K+/ano) para HIPAA. O armazenamento vetorial no pgvector tem escopo BAA; o pipeline de incorporação é sua responsabilidade de BAA end-to-end.
As Supabase Edge Functions contam como processamento de PHI sob a BAA?
Sim. Edge Functions nos planos Team ou Enterprise com o add-on HIPAA estão no escopo. O detalhe: chamadas fetch de saída de uma Edge Function para uma API de terceiros não estão no escopo a menos que esse terceiro também tenha uma BAA. Se sua Edge Function chama Stripe, Twilio ou Resend, cada um desses fornecedores precisa estar em seu tier HIPAA para a chamada ser compatível. A BAA do Supabase não se estende à API que a função chama.
Leitura relacionada
Apps compatíveis com HIPAA em 2026 — Next.js, WordPress ou JotForm $99 — o post pai neste cluster abrangendo os três caminhos arquiteturais. — the parent post in this cluster covering all three architectural paths.
Stacks de hospedagem que realmente assinam uma BAA HIPAA em 2026 — comparação de hospedagem mais ampla incluindo AWS, Azure, GCP e os hosts HIPAA específicos do WordPress. — broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.
WordPress Stack Advisor — cole sua URL, obtenha uma recomendação de stack personalizada em 30 segundos. Útil se você está pesando se seu brief de healthcare realmente precisa da configuração completa Next.js + Supabase ou se o caminho WordPress + JotForm resolve mais barato. — paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.
Se você está seis semanas dentro do seu app de healthcare e não consegue responder 'sua stack é compatível com HIPAA hoje' com um simples sim, os próximos trinta minutos vão resolver.
Agende uma chamada HIPAA stack de 30 minutos — descreva o produto, percorra sua stack atual, saia com um caminho HIPAA que seja defensável para seu auditor e precificado para seu estágio. — describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.