hipaa-compliant-supabase-vercel-2026.html
< BACK 2026年符合HIPAA的Supabase + Vercel方案的配图:700美元/月的可行方案

2026年符合HIPAA的Supabase + Vercel:700美元/月的可行方案

如果你花了上一周时间在Reddit上读各种相互矛盾的帖子,讨论Supabase是否符合HIPAA,简短的答案是:符合——但仅限于正确的计划、正确的附加功能,以及仅在BAA签署后。更长的版本解释了为什么大多数团队在第一次部署时会搞错,以及你的栈在2026年实际上需要什么样子。

2025年有两个事实改变了计算结果:Vercel向Pro团队开放了HIPAA BAA,作为350美元/月的附加功能,Supabase让其HIPAA附加功能可以从仪表板自助购买。综合成本——平台层700美元/月——终于让融资前期的医疗科技团队能够承受符合HIPAA的Next.js + Supabase栈。在2025年之前,同样的方案需要Vercel企业版(年均约45000美元)和Supabase企业版(自定义价格,通常是类似的等级),这让大多数早期团队不得不转向AWS或Azure。

2026年Supabase符合HIPAA吗?

符合,有两个条件。首先,你需要使用Team计划(599美元/月)或Enterprise计划,加上HIPAA附加功能(350美元/月)。Free和Pro计划在任何价格下都不支持HIPAA——Supabase的Pro计划(25美元/月)在任何配置下都不能存储PHI。其次,你必须与Supabase签署一份业务伙伴协议(BAA),由Team和Enterprise客户通过仪表板执行。

在没有HIPAA附加功能的Supabase Pro项目中存储PHI是HIPAA违规,不管你的RLS策略有多严格。BAA是使技术保障真正起作用的合同层。没有BAA就没有合规——这与栈中其他供应商的规则相同。

Supabase HIPAA 附加功能每月 $350 实际买到的是什么

$350 附加功能涵盖你 Pro 计划没有的四项内容:签署的 BAA、额外的安全控制(审计日志、IP 白名单、MFA 强制执行、日志保留)、为合规敏感工作负载提供的专用基础设施,以及访问 Supabase 合规文档集以供你自己的审计使用。

  • 静态加密使用 AES-256,传输中使用 TLS 1.2+ — 与 Pro 相同,但在 BAA 下有合同范围界定。
  • 审计日志保留期延长以满足 HIPAA 对涉及 PHI 访问日志的 6 年要求。
  • 数据库时间点恢复和备份包含在 BAA 范围内,因此从备份恢复不会将你置于协议之外。
  • 存储桶、Auth、Edge Functions 和 Realtime 都在范围内。你可以为 HIPAA 工作负载使用完整平台。
  • AI / Vector 功能(pgvector)在范围内,但如果你将 PHI 嵌入向量,你需要对嵌入本身的加密状态以及任何外部嵌入 API 调用负责。

完整的 $700/月 HIPAA 堆栈:Vercel + Supabase + 你仍需构建的部分

2026 年可防御的 HIPAA 兼容 Next.js + Supabase 堆栈的平台层成本为 $700/月 — 向 Vercel 支付 $350 用于 Pro BAA 附加功能,向 Supabase 支付 $350 用于 HIPAA 附加功能。这个价格假设你使用 Vercel Pro 和 Supabase Team,这两者合起来基本成本约为 $620/月。总底线:约 $1,320/月,加上席位费,加上任何 HIPAA 符合条件的第三方服务。

平台 BAA 涵盖的范围

  • 托管服务(Vercel):Edge 运行时、Functions、ISR、图片优化、日志保留。Pro BAA 不包括 Secure Compute(隔离网络、专用 IP、VPC 对等)——这仅限于企业版,年费约 45,000 美元中位数。
  • 数据库、身份验证、存储、实时功能、Edge Functions(Supabase):全部在 BAA 范围内。
  • DNS、CDN、构建管道(Vercel):在范围内。

平台 BAA 不涵盖的内容——你的责任

  • 应用层审计日志——每次 PHI 读写都需要记录到你自己的审计表或外部 HIPAA 合规日志记录器(如 Supabase Edge Function 写入独立的保留隔离存储桶)。
  • 身份验证和会话管理——Supabase Auth 与 BAA 涵盖凭证存储,但你的会话处理代码、角色检查和空闲超时强制是应用层。
  • 错误日志中的 PHI——Sentry、Datadog、LogRocket、PostHog 等不在范围内,除非你购买了它们单独的 HIPAA 版本(大多数都提供,全部额外收费)。Sentry HIPAA 版本在 Business 计划中存在(80 美元以上/座位/月)。Datadog HIPAA 附加服务需要企业版。
  • 电子邮件——Resend、Postmark、SendGrid:每个都有自己的 HIPAA 版本。Resend HIPAA 支持在 2025 年登陆 Pro 计划,附带单独的 BAA。在发送预约提醒或任何 PHI 电子邮件之前验证。
  • 第三方集成——每个接触 PHI 的外部 API 都需要自己的 BAA。Stripe Health、Twilio HIPAA、JotForm Gold(包含 HIPAA 99 美元/月)、HubSpot Healthcare 等。

如何在 2026 年交付 HIPAA 合规 Next.js + Supabase 设置——实践顺序

1. 先签署 BAA,然后再编写 schema

设置 Vercel Pro 账户,通过仪表板添加 HIPAA BAA 附加服务。设置 Supabase Team 账户,请求 HIPAA 附加服务,从仪表板签署 BAA。两者都是点击接受的协议——不是企业销售电话——在任何 PHI 接触你的基础设施之前,两者都应该完成。如果先构建再签署,每一个进入签署前存储的 PHI 字节都是一次违规。

2. 设计 schema 时要考虑 PHI 隔离

将 PHI 列与非 PHI 列分离。RLS 策略必须在每个 PHI 表上执行,默认策略为拒绝。在高度敏感的字段(SSN、诊断代码、心理健康备注)上使用 pgcrypto 进行列级加密——BAA 涵盖静态 AES-256,但在最敏感字段上的纵深防御是你的审计员会提出的问题。

3. 每次 PHI 访问都进行审计日志记录

HIPAA 要求你记录 PHI 的每次读写,并将日志保留六年。在 Supabase 中有效的模式:一个独立的 audit_log 表,通过触发器或 Edge Function 让每个涉及 PHI 的查询都写入该表。审计日志本身是 PHI 相关的——你存储用户 ID、时间戳和患者 ID,但绝不在审计行中存储 PHI 内容本身。在与操作数据库不同的保留策略上保留审计日志。

4. 采用 HIPAA 合规的会话处理进行身份验证

带 HIPAA 附加服务的 Supabase Auth 在 BAA 的范围内。应用层面的要求仍在你身上:空闲超时会话(临床工作站通常为 15 分钟,面向患者的应用为 30 分钟)、对临床医生账户强制执行 MFA、密码轮换策略(如果你的审计员要求的话),以及在每个受保护路由上的显式基于角色的访问控制。使用 Next.js 中间件进行会话检查,而不仅仅是客户端守卫。

5. PHI 文档和图像的存储

带 HIPAA 附加服务的 Supabase Storage 涵盖签名 URL 访问、静态加密和 BAA 范围的存储桶。应用层面的模式:每个租户一个存储桶,storage.objects 表上的 RLS 策略,签名 URL 的短期过期时间(PHI 文档为 5-15 分钟),即使通过模糊处理也绝不向 PHI 暴露公开 URL。审计每个签名 URL 的读/写到你的 audit_log 中。

6. 表单 — 在自己构建之前,使用 JotForm Gold($99/月)

如果你唯一的 PHI 接收来源是表单,JotForm Gold 的 $99/月套餐包含 HIPAA,无需额外付费。通过 iframe 嵌入表单,PHI 永远不会接触你的基础设施,你可以在一个下午内获得签署的 BAA 和审计日志表单存储。在 Next.js + Supabase 中原生构建 HIPAA 合规表单是一个 2-3 周的项目,而 JotForm 每月 $99 就能解决。将自定义构建留给产品中表单单独不够的部分。JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.

Supabase 不适合用于 HIPAA 工作负载的场景

  • 如果你的审计员要求每一字节 PHI 都存储在你自己的 VPC 内。Supabase HIPAA 为你提供 BAA 范围的多租户基础设施,但不提供 VPC 隔离。解决方案是 Supabase Enterprise(自定义报价)配合专用基础设施,或在 AWS RDS 或 Azure 上自托管 Postgres(受其 BAA 保护)。
  • 如果你需要 FedRAMP 或 StateRAMP 覆盖以及 HIPAA。这些认证属于 Azure / AWS GovCloud 的范畴。截至 2026 年中期,Supabase 不具有 FedRAMP 授权。
  • 如果你的应用需要在多区域患者数据集上实现低于 10 毫秒的读取延迟。Supabase 有读副本,但多区域方案还未达到 CockroachDB + Vercel Edge(自定义复制)的水平。
  • 如果你的团队没有 Postgres 运维深度,且需要一个完全托管的临床数据库,包括供应商提供的模式、FHIR API 和开箱即用的临床决策支持。那是 Aidbox、Health Samurai 或 Particle Health 的领域,而不是 Supabase。

常见问题

Vercel HIPAA BAA 要多少钱?

Vercel 的 HIPAA 业务伙伴协议(BAA)是 Pro 计划的 $350/月附加选项,可通过仪表板中的自助点击同意方式签署,无需企业合同。SAML SSO 是单独的 $300/月附加选项。结合来看,Vercel Pro 上典型的合规设置在座位成本前需要 $650/月。Enterprise 套餐(约 $45,000/年中位数)将 BAA、SSO 和 Secure Compute 捆绑在一起。

Supabase 是否符合 HIPAA 标准?

是的,在 Team 计划(每月 $599)或 Enterprise 计划上,加上每月 $350 的 HIPAA 附加选项,并通过仪表板签署业务伙伴协议(BAA)。Supabase Free 和 Pro 计划在任何配置下都不支持 HIPAA。在没有 HIPAA 附加选项的 Supabase Pro 项目中存储 PHI 是 HIPAA 违规行为,无论您的行级安全政策有多严格。

Supabase Pro 计划是否符合 HIPAA 标准?

否。Supabase Pro(每月 $25)在任何配置下都不支持 HIPAA,Supabase 也不会在 Pro 计划上签署 BAA。要在 Supabase 上存储 PHI,您需要使用 Team 计划(每月 $599)或 Enterprise,加上每月 $350 的 HIPAA 附加选项。仅数据库层的总成本大约为每月 $950 起,不包括任何席位费用。

Vercel 的 BAA 是否涵盖 Supabase,或者我需要两份?

您需要两份。Vercel 的 BAA 涵盖他们的托管、运行时、边缘和平台服务。Supabase 的 BAA 涵盖数据库、身份验证、存储和 Supabase 基础设施上的边缘函数。每个供应商的 BAA 只涵盖他们自己的服务——不存在跨供应商的 HIPAA 继承。与接触 PHI 的每个供应商签署一份 BAA,包括请求路径中的任何第三方 API。

我可以将 Supabase Realtime 用于 HIPAA 工作负载吗?

可以,在具有 HIPAA 附加选项的 Team 计划上,Supabase Realtime 在 BAA 范围内。应用层规则仍然适用:必须在广播频道上执行行级安全,您的订阅客户端必须通过 Supabase Auth 进行身份验证,PHI 广播事件必须像直接数据库读取一样记录到您的审计表。

关于 Supabase 上的 pgvector 和 AI 和 HIPAA 呢?

pgvector 功能在 Supabase BAA 范围内。问题在于,如果您使用外部 API(OpenAI、Anthropic、Voyage)将 PHI 嵌入向量,嵌入调用会离开 Supabase 的 BAA 范围内基础设施,到达需要自己 BAA 的第三方服务。OpenAI 的 API 通过零保留端点支持 HIPAA,可从 baa@openai.com 获得 BAA。Anthropic 的 Claude 需要 Enterprise 计划(通常每年 $50K+)才能支持 HIPAA。pgvector 中的向量存储在 BAA 范围内;嵌入管道需要您负责端到端的 BAA。

Supabase Edge Functions 是否按照 BAA 计算为 PHI 处理?

是的。Team 或 Enterprise 计划上带有 HIPAA 附加服务的 Edge Functions 在范围内。但有一个问题:Edge Function 向第三方 API 发出的出站 fetch 调用不在范围内,除非该第三方也有 BAA。如果你的 Edge Function 调用 Stripe、Twilio 或 Resend,这些供应商中的每一个都需要处于其 HIPAA 等级才能使调用合规。Supabase BAA 不适用于该函数调用的 API。

相关阅读

2026 年符合 HIPAA 规范的应用 — Next.js、WordPress 或 JotForm 99 美元 — 这个集群中的父贴,涵盖所有三条架构路径。 — the parent post in this cluster covering all three architectural paths.

实际上签署 HIPAA BAA 的托管堆栈 2026 — 更广泛的托管比较,包括 AWS、Azure、GCP 和 WordPress 专用 HIPAA 主机。 — broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.

WordPress Stack Advisor — 粘贴你的 URL,在 30 秒内获得量身定制的堆栈推荐。如果你正在权衡你的医疗简报是否真的需要完整的 Next.js + Supabase 设置,或者 WordPress + JotForm 路径是否能更便宜地解决,这很有用。 — paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.

如果你已经在你的医疗应用上花了六周时间,却无法用一个简单的"是"回答"你的堆栈今天是否符合 HIPAA 规范",接下来的三十分钟将解决这个问题。

预订 30 分钟的 HIPAA 堆栈通话 — 描述产品,走查你当前的堆栈,带着一条对审计员来说是可防守的并且按你的阶段定价的 HIPAA 路径离开。 — describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.

< BACK