¿El nivel gratis de Supabase cumple con HIPAA?

No. HIPAA requiere un BAA firmado, que Supabase ofrece solo en planes de pago elegibles. No almacenes PHI en el nivel gratis.

¿Firmar un BAA hace que mi app de Supabase cumpla con HIPAA?

No. Un BAA cubre la plataforma. Tu app solo cumple si además configuras correctamente RLS, controles de acceso, cifrado y registro, y manejas la PHI adecuadamente en toda tu arquitectura.

¿Supabase cumple con HIPAA?

Supabase puede usarse para apps reguladas por HIPAA: ofrece un nivel compatible con HIPAA en sus planes de pago y firmará un Acuerdo de Asociado Comercial (BAA). Pero que la plataforma sea capaz de cumplir con HIPAA no hace que tu app cumpla: sigues siendo responsable de configurar correctamente la seguridad a nivel de fila, los controles de acceso, el cifrado, el registro de auditoría y el manejo de datos. HIPAA en Supabase es una responsabilidad compartida.

¿Compatible con HIPAA?: Sí, en planes de pago con un BAA firmado
¿BAA disponible?: Sí, en niveles de pago elegibles
Tu responsabilidad: RLS, control de acceso, cifrado, registro, manejo de PHI
Nivel gratis: No apto para PHI, sin BAA

Qué proporciona Supabase para HIPAA

En los planes de pago elegibles, Supabase firmará un BAA y proporciona los controles de infraestructura que HIPAA espera: cifrado en tránsito y en reposo, controles de acceso y la capacidad de operar en una configuración conforme. Esto hace de Supabase un backend legítimo para apps de salud que manejan información médica protegida (PHI).

Qué sigue siendo tu responsabilidad

Un BAA cubre la plataforma, no tu aplicación. Debes activar y acotar correctamente la seguridad a nivel de fila para que la PHI nunca sea legible por el usuario equivocado, mantener la clave service-role del lado del servidor, exigir autorización en cada endpoint, activar el registro de auditoría y asegurarte de que la PHI no se filtre en los registros, la analítica ni el paquete del cliente. La mayoría de los fallos de "Supabase HIPAA" son configuraciones erróneas a nivel de app, no carencias de la plataforma.

HIPAA para apps de salud vibe-coded

Si creaste una app de salud con un creador de IA, ten especial cuidado: las apps generadas con frecuencia salen con RLS abierto y claves expuestas, algo inaceptable para PHI. Antes de manejar cualquier dato real de pacientes, verifica el control de acceso de extremo a extremo y obtén una revisión de seguridad. Un escaneo gratis te dice en minutos si la PHI está expuesta actualmente.

Obtén la autorización antes de lanzar.

Únete a la lista de acceso anticipado. Daremos prioridad a fundadores con una app ya desplegada y una fecha de lanzamiento en el calendario.

Preguntas

¿El nivel gratis de Supabase cumple con HIPAA?: No. HIPAA requiere un BAA firmado, que Supabase ofrece solo en planes de pago elegibles. No almacenes PHI en el nivel gratis.
¿Firmar un BAA hace que mi app de Supabase cumpla con HIPAA?: No. Un BAA cubre la plataforma. Tu app solo cumple si además configuras correctamente RLS, controles de acceso, cifrado y registro, y manejas la PHI adecuadamente en toda tu arquitectura.