如果你在过去一周里一直在读Reddit上关于Supabase是否符合HIPAA的相互矛盾的讨论,简短的答案是可以的——但仅限于正确的套餐、配合正确的附加服务,且仅在签署BAA之后。长版本解释了为什么大多数团队在首次部署时会搞错这一点,以及你的技术栈在2026年实际上需要什么样的配置。Supabase is HIPAA-compliant, the short version is yes -- but only on the right plan, with the right add-on, and only after the BAA is signed. The longer version explains why most teams get this wrong on their first deploy and what your stack actually needs to look like in 2026.
2025年有两个事实改变了这方面的计算方式:Vercel向Pro团队开放了HIPAA BAA作为350美元/月的附加服务,Supabase使其HIPAA附加服务可直接通过仪表盘自助配置。合并成本——平台层700美元/月——终于让A轮前健康科技团队能够承受一个可防御的HIPAA兼容的Next.js + Supabase技术栈。在2025年之前同样的配置需要Vercel Enterprise(约45,000美元/年中位数)和Supabase Enterprise(自定义价格,通常是类似等级),大多数早期阶段团队的成本会被推向AWS或Azure。Vercel opened HIPAA BAAs to Pro teams as a $350/month add-on, and Supabase made its HIPAA add-on self-serve from the dashboard. The combined cost -- $700/month for the platform layer -- finally puts a defensible HIPAA-compliant Next.js + Supabase stack in reach of pre-Series-A health-tech teams. Before 2025 the same setup required Vercel Enterprise (around $45K/year median) and Supabase Enterprise (custom pricing, typically a similar tier), pricing most early-stage teams onto AWS or Azure instead.
2026年Supabase符合HIPAA吗?
可以的,有两个条件。首先,你需要在Team套餐(599美元/月)或Enterprise套餐上,加上HIPAA附加服务350美元/月。Free和Pro套餐不支持HIPAA,无论价格如何——Supabase的Pro套餐(25美元/月)在任何配置下都不能存储PHI。其次,你必须与Supabase签署经过执行的业务关联协议(BAA),由Team和Enterprise客户通过仪表盘执行。
在没有HIPAA附加服务的Supabase Pro项目中存储PHI是HIPAA违规行为,无论你的RLS策略有多严格。BAA是使技术保障措施发挥作用的合同层面。没有BAA就没有合规——与技术栈中其他任何供应商的规则相同。
Supabase HIPAA 附加功能每月 $350 实际买到的是什么
$350 附加功能涵盖你 Pro 计划没有的四项内容:签署的 BAA、额外的安全控制(审计日志、IP 白名单、MFA 强制执行、日志保留)、为合规敏感工作负载提供的专用基础设施,以及访问 Supabase 合规文档集以供你自己的审计使用。
- 静态加密使用AES-256,传输中使用TLS 1.2+——与Pro相同,但在BAA的合同范围内。
- 审计日志保留期延长以满足 HIPAA 对涉及 PHI 访问日志的 6 年要求。
- 数据库时间点恢复和备份包含在 BAA 范围内,因此从备份恢复不会将你置于协议之外。
- 存储桶、Auth、Edge Functions 和 Realtime 都在范围内。你可以为 HIPAA 工作负载使用完整平台。
- AI / Vector 功能(pgvector)在范围内,但如果你将 PHI 嵌入向量,你需要对嵌入本身的加密状态以及任何外部嵌入 API 调用负责。
完整的 $700/月 HIPAA 堆栈:Vercel + Supabase + 你仍需构建的部分
2026年可防御的HIPAA兼容Next.js + Supabase技术栈的平台层成本是700美元/月——Vercel Pro BAA附加服务350美元,Supabase HIPAA附加服务350美元。这个价格假设你使用的是Vercel Pro和Supabase Team,两者基础成本合计约620美元/月。总最低成本:约1,320美元/月,加上席位费,加上任何符合HIPAA条件的第三方服务。
平台 BAA 涵盖的范围
- 托管(Vercel):Edge runtime、Functions、ISR、图像优化、日志保留。Pro BAA不包括Secure Compute(隔离网络、专有IP、VPC对等)——这仅限于Enterprise,约45,000美元/年中位数。
- 数据库、身份验证、存储、实时功能、Edge Functions(Supabase):全部在 BAA 范围内。
- DNS、CDN、构建管道(Vercel):在范围内。
平台BAA不覆盖的内容——你的责任
- 应用层审计日志——每一次PHI读写都需要记录到你自己的审计表或外部HIPAA合规的日志记录服务,如写入独立保留隔离存储桶的Supabase Edge Function。
- 身份验证和会话管理——带BAA的Supabase Auth覆盖凭证的存储,但你的会话处理代码、角色检查和空闲超时强制是应用层的。
- 错误日志中的 PHI -- Sentry、Datadog、LogRocket、PostHog 等不在范围内,除非你有他们单独的 HIPAA 层级(大多数都有,但都需要额外付费)。Sentry HIPAA 层级存在于 Business 计划($80+/座位/月)。Datadog HIPAA 附加功能需要 Enterprise。
- 邮件 -- Resend、Postmark、SendGrid:各自都有自己的 HIPAA 层级。Resend HIPAA 支持在 2025 年在 Pro 计划上线,需要单独的 BAA。在发送预约提醒或任何电子邮件中的 PHI 之前,请验证。
- 第三方集成 -- 每一个接触 PHI 的外部 API 都需要自己的 BAA。Stripe Health、Twilio HIPAA、JotForm Gold(HIPAA 包含在 $99/月)、HubSpot Healthcare 等。
如何在 2026 年交付 HIPAA 兼容的 Next.js + Supabase 设置 -- 实践步骤
1. 先签署 BAA,然后再编写 schema
设置 Vercel Pro 账户,通过仪表板添加 HIPAA BAA 附加功能。设置 Supabase Team 账户,请求 HIPAA 附加功能,从仪表板签署 BAA。两者都是点击同意的协议 -- 不是企业销售电话 -- 在任何 PHI 接触你的基础设施之前,两者都应该完成。如果先构建后签署,每个落在签署前 BAA 存储中的 PHI 字节都是违规。
2. 设计 schema 时要考虑 PHI 隔离
将 PHI 列与非 PHI 列分开。RLS 策略必须在每个 PHI 表上实施,默认策略为拒绝。在高度敏感字段(SSN、诊断代码、心理健康记录)上使用 pgcrypto 进行列级加密 -- BAA 涵盖静止时的 AES-256,但在最敏感字段上进行纵深防御是你的审计员会询问的。
3. 每次 PHI 访问都进行审计日志记录
HIPAA 要求你记录每一次 PHI 的读取和写入,并保留日志六年。在 Supabase 中有效的模式:一个单独的 audit_log 表,每个接触 PHI 的查询都通过触发器或 Edge Function 写入该表。审计日志本身是 PHI 相邻的 -- 你存储用户 ID、时间戳和患者 ID,但在审计行中永远不存储 PHI 内容本身。在不同于操作数据库的单独保留策略上保留审计日志。
4. 采用 HIPAA 合规的会话处理进行身份验证
带 HIPAA 附加服务的 Supabase Auth 在 BAA 的范围内。应用层面的要求仍在你身上:空闲超时会话(临床工作站通常为 15 分钟,面向患者的应用为 30 分钟)、对临床医生账户强制执行 MFA、密码轮换策略(如果你的审计员要求的话),以及在每个受保护路由上的显式基于角色的访问控制。使用 Next.js 中间件进行会话检查,而不仅仅是客户端守卫。
5. PHI 文档和图像的存储
带 HIPAA 附加服务的 Supabase Storage 涵盖签名 URL 访问、静态加密和 BAA 范围的存储桶。应用层面的模式:每个租户一个存储桶,storage.objects 表上的 RLS 策略,签名 URL 的短期过期时间(PHI 文档为 5-15 分钟),即使通过模糊处理也绝不向 PHI 暴露公开 URL。审计每个签名 URL 的读/写到你的 audit_log 中。
6. 表单 -- 在构建自己的表单之前使用 JotForm Gold($99/月)
如果你唯一的 PHI 接收来源是表单,JotForm Gold 的 $99/月套餐包含 HIPAA,无需额外付费。通过 iframe 嵌入表单,PHI 永远不会接触你的基础设施,你可以在一个下午内获得签署的 BAA 和审计日志表单存储。在 Next.js + Supabase 中原生构建 HIPAA 合规表单是一个 2-3 周的项目,而 JotForm 每月 $99 就能解决。将自定义构建留给产品中表单单独不够的部分。JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.
Supabase 不适合用于 HIPAA 工作负载的场景
- 如果你的审计员要求每一字节 PHI 都存储在你自己的 VPC 内。Supabase HIPAA 为你提供 BAA 范围的多租户基础设施,但不提供 VPC 隔离。解决方案是 Supabase Enterprise(自定义报价)配合专用基础设施,或在 AWS RDS 或 Azure 上自托管 Postgres(受其 BAA 保护)。
- 如果你需要 FedRAMP 或 StateRAMP 覆盖以及 HIPAA。这些认证属于 Azure / AWS GovCloud 的范畴。截至 2026 年中期,Supabase 不具有 FedRAMP 授权。
- 如果你的应用需要在多区域患者数据集上实现低于 10 毫秒的读取延迟。Supabase 有读副本,但多区域方案还未达到 CockroachDB + Vercel Edge(自定义复制)的水平。
- 如果你的团队没有 Postgres 运维深度,且需要一个完全托管的临床数据库,包括供应商提供的模式、FHIR API 和开箱即用的临床决策支持。那是 Aidbox、Health Samurai 或 Particle Health 的领域,而不是 Supabase。
常见问题
Vercel HIPAA BAA 要多少钱?
Vercel 的 HIPAA 业务伙伴协议(BAA)是 Pro 计划的 $350/月附加选项,可通过仪表板中的自助点击同意方式签署,无需企业合同。SAML SSO 是单独的 $300/月附加选项。结合来看,Vercel Pro 上典型的合规设置在座位成本前需要 $650/月。Enterprise 套餐(约 $45,000/年中位数)将 BAA、SSO 和 Secure Compute 捆绑在一起。
Supabase 是否符合 HIPAA 标准?
是的,在 Team 计划(每月 $599)或 Enterprise 计划上,加上每月 $350 的 HIPAA 附加选项,并通过仪表板签署业务伙伴协议(BAA)。Supabase Free 和 Pro 计划在任何配置下都不支持 HIPAA。在没有 HIPAA 附加选项的 Supabase Pro 项目中存储 PHI 是 HIPAA 违规行为,无论您的行级安全政策有多严格。
Supabase Pro 计划是否符合 HIPAA 标准?
否。Supabase Pro(每月 $25)在任何配置下都不支持 HIPAA,Supabase 也不会在 Pro 计划上签署 BAA。要在 Supabase 上存储 PHI,您需要使用 Team 计划(每月 $599)或 Enterprise,加上每月 $350 的 HIPAA 附加选项。仅数据库层的总成本大约为每月 $950 起,不包括任何席位费用。
Vercel 的 BAA 是否涵盖 Supabase,或者我需要两份?
你需要两者。Vercel 的 BAA 涵盖他们的托管、运行时、边缘和平台服务。Supabase 的 BAA 涵盖数据库、身份验证、存储和 Supabase 基础设施上的 Edge Function。每个供应商的 BAA 只涵盖他们自己的服务 -- 没有跨供应商的 HIPAA 继承。与接触 PHI 的每个供应商签署协议,包括请求路径中的任何第三方 API。
我可以将 Supabase Realtime 用于 HIPAA 工作负载吗?
可以,在具有 HIPAA 附加选项的 Team 计划上,Supabase Realtime 在 BAA 范围内。应用层规则仍然适用:必须在广播频道上执行行级安全,您的订阅客户端必须通过 Supabase Auth 进行身份验证,PHI 广播事件必须像直接数据库读取一样记录到您的审计表。
关于 Supabase 上的 pgvector 和 AI 和 HIPAA 呢?
pgvector 功能在 Supabase BAA 范围内。问题在于,如果您使用外部 API(OpenAI、Anthropic、Voyage)将 PHI 嵌入向量,嵌入调用会离开 Supabase 的 BAA 范围内基础设施,到达需要自己 BAA 的第三方服务。OpenAI 的 API 通过零保留端点支持 HIPAA,可从 baa@openai.com 获得 BAA。Anthropic 的 Claude 需要 Enterprise 计划(通常每年 $50K+)才能支持 HIPAA。pgvector 中的向量存储在 BAA 范围内;嵌入管道需要您负责端到端的 BAA。
Supabase Edge Functions 是否按照 BAA 计算为 PHI 处理?
是的。Team 或 Enterprise 计划上带有 HIPAA 附加服务的 Edge Functions 在范围内。但有一个问题:Edge Function 向第三方 API 发出的出站 fetch 调用不在范围内,除非该第三方也有 BAA。如果你的 Edge Function 调用 Stripe、Twilio 或 Resend,这些供应商中的每一个都需要处于其 HIPAA 等级才能使调用合规。Supabase BAA 不适用于该函数调用的 API。
相关阅读
2026 年的 HIPAA 兼容应用 -- Next.js、WordPress 或 JotForm $99 -- 本集群中涵盖所有三条架构路径的母贴。 -- the parent post in this cluster covering all three architectural paths.
2026年真正签署HIPAA BAA的托管堆栈 — 更广泛的托管比较,包括AWS、Azure、GCP和WordPress特定的HIPAA托管商。 -- broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.
WordPress Stack Advisor — 粘贴你的URL,30秒内获得量身定制的堆栈建议。如果你在权衡你的医疗简报是否真的需要完整的Next.js + Supabase设置,或者WordPress + JotForm路径能否更便宜地解决问题,这很有用。 -- paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.
如果你已经在你的医疗应用上花了六周时间,却无法用一个简单的"是"回答"你的堆栈今天是否符合 HIPAA 规范",接下来的三十分钟将解决这个问题。
预订30分钟HIPAA堆栈咨询电话 — 描述你的产品,梳理你当前的堆栈,获得对你的审计员可辩护且符合你所处阶段定价的HIPAA路径。 -- describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.