O plano grátis do Supabase é compatível com HIPAA?

Não. O HIPAA exige um BAA assinado, que o Supabase oferece apenas nos planos pagos elegíveis. Não guarde PHI no plano grátis.

Assinar um BAA torna meu app no Supabase compatível com HIPAA?

Não. Um BAA cobre a plataforma. Seu app só é conforme se você também configurar corretamente RLS, controles de acesso, criptografia e logs e tratar PHI adequadamente em toda a sua stack.

O Supabase é compatível com HIPAA?

O Supabase pode ser usado em apps regulados pelo HIPAA: ele oferece um nível compatível com HIPAA nos planos pagos e assina um Business Associate Agreement (BAA). Mas a plataforma ter capacidade para HIPAA não torna o seu app conforme — você continua responsável por configurar corretamente a segurança em nível de linha, os controles de acesso, a criptografia, os logs de auditoria e o tratamento dos dados. HIPAA no Supabase é uma responsabilidade compartilhada.

Tem capacidade para HIPAA?: Sim — nos planos pagos com um BAA assinado
BAA disponível?: Sim, nos níveis pagos elegíveis
Sua responsabilidade: RLS, controle de acesso, criptografia, logs, tratamento de PHI
Plano grátis: Não é adequado para PHI — sem BAA

O que o Supabase oferece para HIPAA

Nos planos pagos elegíveis, o Supabase assina um BAA e oferece os controles de infraestrutura que o HIPAA exige — criptografia em trânsito e em repouso, controles de acesso e a capacidade de operar em uma configuração conforme. Isso torna o Supabase um back-end legítimo para apps de saúde que lidam com informações de saúde protegidas (PHI).

O que ainda é responsabilidade sua

Um BAA cobre a plataforma, não o seu aplicativo. Você precisa ativar e delimitar corretamente a segurança em nível de linha para que PHI nunca seja legível pelo usuário errado, manter a chave service_role no lado do servidor, impor autorização em cada endpoint, ativar logs de auditoria e garantir que PHI não vaze para logs, analytics ou o bundle do cliente. A maioria das falhas de "Supabase HIPAA" são configurações incorretas no nível do app, não lacunas da plataforma.

HIPAA para apps de saúde feitos no improviso

Se você construiu um app de saúde com um construtor de IA, tenha cuidado redobrado: apps gerados frequentemente vão ao ar com RLS aberta e chaves expostas — inaceitável para PHI. Antes de lidar com qualquer dado real de paciente, verifique o controle de acesso de ponta a ponta e faça uma revisão de segurança. Uma varredura grátis te diz em minutos se PHI está exposto neste momento.

Fique liberado antes de lançar.

Entre na lista de acesso antecipado. Vamos priorizar fundadores com um app já no ar e uma data de lançamento marcada.

Perguntas

O plano grátis do Supabase é compatível com HIPAA?: Não. O HIPAA exige um BAA assinado, que o Supabase oferece apenas nos planos pagos elegíveis. Não guarde PHI no plano grátis.
Assinar um BAA torna meu app no Supabase compatível com HIPAA?: Não. Um BAA cobre a plataforma. Seu app só é conforme se você também configurar corretamente RLS, controles de acesso, criptografia e logs e tratar PHI adequadamente em toda a sua stack.