hipaa-compliant-supabase-vercel-2026.html
< BACK Imagem hero para Supabase + Vercel em conformidade com HIPAA em 2026: a configuração de $700/mês que realmente funciona

Supabase + Vercel em conformidade com HIPAA em 2026: a configuração de $700/mês que realmente funciona

Se você passou a última semana lendo threads conflitantes do Reddit sobre se o Supabase é compatível com HIPAA, a versão curta é sim -- mas apenas no plano certo, com o complemento certo, e apenas depois que o BAA é assinado. A versão mais longa explica por que a maioria dos times erra isso no primeiro deploy e qual é o visual real da sua stack em 2026.Supabase is HIPAA-compliant, the short version is yes -- but only on the right plan, with the right add-on, and only after the BAA is signed. The longer version explains why most teams get this wrong on their first deploy and what your stack actually needs to look like in 2026.

Dois fatos mudaram o cálculo disso em 2025: Vercel abriu BAAs HIPAA para times Pro como complemento de $350/mês, e Supabase fez seu complemento HIPAA autoatendimento pelo dashboard. O custo combinado -- $700/mês pela camada de plataforma -- finalmente coloca uma stack Next.js + Supabase compatível com HIPAA defensável ao alcance de times de health-tech pré-Series A. Antes de 2025 a mesma configuração exigia Vercel Enterprise (em torno de $45K/ano de mediana) e Supabase Enterprise (preço customizado, tipicamente um tier similar), preço que deixava a maioria dos times no estágio inicial na AWS ou Azure.Vercel opened HIPAA BAAs to Pro teams as a $350/month add-on, and Supabase made its HIPAA add-on self-serve from the dashboard. The combined cost -- $700/month for the platform layer -- finally puts a defensible HIPAA-compliant Next.js + Supabase stack in reach of pre-Series-A health-tech teams. Before 2025 the same setup required Vercel Enterprise (around $45K/year median) and Supabase Enterprise (custom pricing, typically a similar tier), pricing most early-stage teams onto AWS or Azure instead.

Supabase está em conformidade com HIPAA em 2026?

Sim, com duas condições. Primeiro, você precisa estar no plano Team ($599/mês) ou no plano Enterprise, mais o complemento HIPAA por $350/mês. Os planos Free e Pro não suportam HIPAA em nenhum preço -- o plano Pro do Supabase ($25/mês) não pode armazenar PHI em nenhuma configuração. Segundo, você deve ter um Business Associate Agreement (BAA) assinado com Supabase, executado via dashboard para clientes Team e Enterprise.

Armazenar PHI em um projeto Supabase Pro sem o complemento HIPAA é uma violação de HIPAA independente de quão bloqueadas suas políticas de RLS estejam. O BAA é a camada contratual que faz as salvaguardas técnicas contarem. Sem BAA, sem compliance -- mesma regra de todo outro vendor na sua stack.

O que o complemento HIPAA do Supabase realmente oferece por $350/mês

O complemento de $350 cobre quatro coisas que seu plano Pro não possui: um BAA assinado, controles de segurança adicionais (audit logging, IP allow-listing, MFA enforcement, log retention), infraestrutura dedicada para workloads sensíveis de compliance, e acesso ao conjunto de documentação de compliance do Supabase necessário para seus próprios audits.

  • Criptografia em repouso com AES-256, em trânsito com TLS 1.2+ -- igual a Pro, mas escopo contratual sob o BAA.
  • Retenção de audit log estendida para atender ao requisito de 6 anos do HIPAA para access logs que toquem PHI.
  • Database point-in-time recovery e backups estão inclusos no escopo do BAA, então restaurar a partir de um backup não coloca você fora do acordo.
  • Storage buckets, Auth, Edge Functions, e Realtime estão todos no escopo. Você pode usar a plataforma completa para workloads HIPAA.
  • Funcionalidade de AI / Vector (pgvector) está no escopo, mas se você incorporar PHI a vetores você é responsável pela postura de criptografia dos embeddings em si e por qualquer chamada de API de embedding externo.

A stack HIPAA completa de $700/mês: Vercel + Supabase + as partes que você ainda precisa construir

Uma stack Next.js + Supabase compatível com HIPAA defensável em 2026 custa $700/mês pela camada de plataforma -- $350 para Vercel pelo complemento Pro BAA, $350 para Supabase pelo complemento HIPAA. Esse preço assume que você está em Vercel Pro e Supabase Team, que juntos custam aproximadamente $620/mês na base antes dos BAAs. Piso total: cerca de $1.320/mês, mais assentos, mais qualquer serviço terceirizado elegível para HIPAA.

O que os BAAs da plataforma cobrem

  • Hosting (Vercel): Edge runtime, Functions, ISR, image optimisation, log retention. Pro BAA NÃO inclui Secure Compute (redes isoladas, IPs dedicados, VPC peering) -- isso é apenas Enterprise em torno de $45K/ano de mediana.
  • Database, Auth, Storage, Realtime, Edge Functions (Supabase): tudo dentro do escopo do BAA.
  • DNS, CDN, pipeline de build (Vercel): dentro do escopo.

O que os BAAs de plataforma NÃO cobrem -- sua responsabilidade

  • Audit logging na camada de aplicação -- cada leitura/escrita de PHI precisa cair na sua própria tabela de auditoria ou em um logger elegível para HIPAA externo como uma Supabase Edge Function escrevendo em um bucket isolado de retenção separada.
  • Autenticação e gerenciamento de sessão -- Supabase Auth com o BAA cobre o armazenamento de credenciais, mas seu código de tratamento de sessão, suas verificações de papel, e sua imposição de timeout ocioso estão na camada de aplicação.
  • PHI em logs de erro -- Sentry, Datadog, LogRocket, PostHog, etc. NÃO estão no escopo a menos que você tenha o tier HIPAA separado deles (a maioria oferece, todos cobram extra). O tier HIPAA do Sentry existe no plano Business ($80+/seat/mês). O add-on HIPAA do Datadog requer Enterprise.
  • Email -- Resend, Postmark, SendGrid: cada um tem seu próprio tier HIPAA. O suporte HIPAA do Resend chegou em 2025 no plano Pro com BAA separado. Verifique antes de enviar lembretes de consultas ou qualquer PHI por email.
  • Integrações de terceiros -- toda API externa que toca PHI precisa de seu próprio BAA. Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA a $99/mês incluído), HubSpot Healthcare, etc.

Como colocar em produção uma setup HIPAA-compliant Next.js + Supabase em 2026 -- a sequência prática

1. Assine os BAAs primeiro, antes de escrever o schema

Configure uma conta Vercel Pro, adicione o add-on BAA HIPAA pelo dashboard. Configure uma conta Supabase Team, solicite o add-on HIPAA, assine o BAA pelo dashboard. Ambos são acordos por clique -- não chamadas de vendas Enterprise -- e ambos devem ser feitos antes de qualquer PHI tocar sua infraestrutura. Se você construir primeiro e assinar depois, cada byte de PHI que caiu no armazenamento pré-BAA é uma violação.

2. Projete seu schema com isolamento de PHI em mente

Separe colunas PHI de colunas não-PHI. Políticas RLS devem ser aplicadas em toda tabela PHI, com a política padrão sendo deny. Use pgcrypto para criptografia em nível de coluna em campos altamente sensíveis (SSN, códigos de diagnóstico, notas de saúde mental) -- o BAA cobre AES-256 em repouso, mas defesa em profundidade nos campos mais sensíveis é o que seu auditor vai perguntar.

3. Auditoria em cada acesso a PHI

HIPAA exige que você registre toda leitura e escrita de PHI, e retenha os logs por seis anos. O padrão que funciona no Supabase: uma tabela audit_log separada que toda query que toca PHI escreve via trigger ou uma Edge Function. O audit log em si é PHI-adjacente -- você armazena IDs de usuário, timestamps e IDs de paciente, mas nunca o conteúdo PHI em si na linha de auditoria. Retenha o audit log em uma política de retenção separada do banco de dados operacional.

4. Autenticação com manipulação de sessão elegível para HIPAA

Supabase Auth com o complemento HIPAA está dentro do escopo do BAA. Os requisitos na camada de aplicação ainda estão em você: sessões com timeout de inatividade (tipicamente 15 minutos para estações clínicas, 30 minutos para aplicativos voltados para pacientes), aplicação de MFA em contas de clínicos, políticas de rotação de senha se seu auditor exigir, e controle de acesso explícito baseado em função em cada rota protegida. Use middleware Next.js para a verificação de sessão, não apenas guards do lado do cliente.

5. Armazenamento para documentos e imagens PHI

Supabase Storage com o complemento HIPAA cobre acesso via URL assinada, criptografia em repouso e buckets com escopo BAA. O padrão na camada de aplicação: bucket por tenant, política RLS na tabela storage.objects, URLs assinadas com validade curta (5-15 minutos para documentos PHI), e nunca expor URLs públicas para PHI mesmo através de obscuridade. Audite a leitura/escrita de cada URL assinada no seu audit_log.

6. Formulários -- use JotForm Gold por $99/mês antes de construir o seu próprio

Se sua única ingestão de PHI for através de formulários, JotForm Gold a $99/mês inclui HIPAA sem custo adicional. Incorpore o formulário via iframe, o PHI nunca toca sua infraestrutura, e você tem armazenamento com BAA assinado e auditado em uma tarde. Construir formulários compatíveis com HIPAA nativamente em Next.js + Supabase é um engajamento de 2-3 semanas que JotForm resolve por $99 mensais. Guarde o desenvolvimento customizado para as partes do seu produto onde o formulário sozinho não é suficiente.JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.

Onde Supabase é a escolha errada para cargas de trabalho HIPAA

  • Se seu auditor exigir que cada byte de PHI viva dentro de seu próprio VPC. Supabase HIPAA oferece infraestrutura multi-tenant no escopo da BAA; não oferece isolamento de VPC. A solução é Supabase Enterprise (cotação customizada) com infraestrutura dedicada, ou Postgres auto-hospedado em AWS RDS ou Azure sob sua BAA.
  • Se você precisa de cobertura FedRAMP ou StateRAMP além de HIPAA. Essas certificações são território de Azure / AWS GovCloud. Supabase não tem autorização FedRAMP em meados de 2026.
  • Se sua aplicação requer latência de leitura sub-10ms em um dataset de pacientes multi-região. Supabase tem read replicas, mas a história multi-região ainda não está no nível de CockroachDB + Vercel Edge com replicação customizada.
  • Se seu time tem zero profundidade operacional em Postgres e você precisa de um banco de dados clínico totalmente gerenciado com schema fornecido pelo vendedor, APIs FHIR, e suporte clínico à decisão pronto para usar. Esse é território de Aidbox, Health Samurai, ou Particle Health, não Supabase.

FAQ

Quanto custa o BAA HIPAA da Vercel?

O Business Associate Agreement HIPAA da Vercel é um complemento de $350 por mês no plano Pro, assinado via clique de auto-serviço no dashboard sem necessidade de contrato Enterprise. SAML SSO é um complemento separado de $300 por mês. Combinados, uma configuração de conformidade típica em Vercel Pro custa $650 por mês antes dos custos de assentos. Enterprise (em torno de $45.000 por ano em mediana) agrupa BAA, SSO, e Secure Compute.

O Supabase está em conformidade com a HIPAA?

Sim, no plano Team ($599 por mês) ou plano Enterprise, mais o add-on HIPAA de $350 por mês, com um Business Associate Agreement assinado executado via dashboard. Os planos Supabase Free e Pro não suportam HIPAA em nenhuma configuração. Armazenar PHI em um projeto Supabase Pro sem o add-on HIPAA é uma violação da HIPAA independentemente de quão restritivas sejam suas políticas de segurança em nível de linha.

O plano Supabase Pro está em conformidade com a HIPAA?

Não. Supabase Pro a $25/mês não suporta HIPAA em nenhuma configuração, e o Supabase não assinará um BAA no plano Pro. Para armazenar PHI no Supabase você precisa estar no plano Team ($599/mês) ou Enterprise, mais o add-on HIPAA de $350/mês. O piso combinado é aproximadamente $950/mês apenas para a camada de banco de dados, antes de qualquer custo de assentos.

O BAA do Vercel cobre o Supabase, ou preciso de ambos?

Você precisa de ambos. O BAA do Vercel cobre sua hospedagem, runtime, edge e serviços de plataforma. O BAA do Supabase cobre o banco de dados, auth, armazenamento e edge functions na infraestrutura do Supabase. O BAA de cada vendor cobre apenas seus próprios serviços -- não há herança HIPAA entre vendors. Assine um com cada vendor que toca PHI, incluindo qualquer API de terceiros no caminho da requisição.

Posso usar Supabase Realtime para cargas de trabalho HIPAA?

Sim, no plano Team com o add-on HIPAA, o Supabase Realtime está no escopo do BAA. As regras de camada de aplicação ainda se aplicam: segurança em nível de linha deve ser executada nos canais de broadcast, seus clientes assinantes devem autenticar via Supabase Auth, e eventos de broadcast PHI devem ser registrados em sua tabela de auditoria da mesma forma que leituras diretas de banco de dados.

E quanto a pgvector e IA no Supabase HIPAA?

A funcionalidade pgvector está no escopo do BAA do Supabase. O porém é que se você incorporar PHI em vetores usando uma API externa (OpenAI, Anthropic, Voyage), a chamada de incorporação sai da infraestrutura com escopo BAA do Supabase e chega a um serviço de terceiros que precisa de seu próprio BAA. A API do OpenAI suporta HIPAA via endpoints de retenção zero com um BAA de baa@openai.com. Claude do Anthropic requer o plano Enterprise (tipicamente $50K+/ano) para HIPAA. O armazenamento vetorial no pgvector tem escopo BAA; o pipeline de incorporação é sua responsabilidade de BAA end-to-end.

As Supabase Edge Functions contam como processamento de PHI sob a BAA?

Sim. Edge Functions nos planos Team ou Enterprise com o add-on HIPAA estão no escopo. O detalhe: chamadas fetch de saída de uma Edge Function para uma API de terceiros não estão no escopo a menos que esse terceiro também tenha uma BAA. Se sua Edge Function chama Stripe, Twilio ou Resend, cada um desses fornecedores precisa estar em seu tier HIPAA para a chamada ser compatível. A BAA do Supabase não se estende à API que a função chama.

Leitura relacionada

Apps HIPAA-compliant em 2026 -- Next.js, WordPress, ou JotForm $99 -- o post pai neste cluster cobrindo todos os três caminhos arquiteturais. -- the parent post in this cluster covering all three architectural paths.

Pilhas de hosting que realmente assinam BAA HIPAA em 2026 -- comparação mais ampla de hosting incluindo AWS, Azure, GCP e os hosts WordPress específicos para HIPAA. -- broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.

WordPress Stack Advisor -- cole sua URL, obtenha uma recomendação de pilha personalizada em 30 segundos. Útil se você está ponderando se seu briefing de healthcare realmente precisa do setup completo Next.js + Supabase ou se o caminho WordPress + JotForm resolve mais barato. -- paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.

Se você está seis semanas dentro do seu app de healthcare e não consegue responder 'sua stack é compatível com HIPAA hoje' com um simples sim, os próximos trinta minutos vão resolver.

Agende uma chamada de pilha HIPAA de 30 minutos -- descreva o produto, percorra sua pilha atual, saia com um caminho HIPAA que seja defensável para seu auditor e precificado para seu estágio. -- describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.

< BACK