Supabase 符合 HIPAA 吗?
Supabase 可用于受 HIPAA 监管的应用:它在付费方案上提供符合 HIPAA 的层级,并会签署业务伙伴协议(BAA)。但平台具备支持 HIPAA 的能力,并不等于让你的应用合规——你仍然要负责正确配置行级安全、访问控制、加密、审计日志和数据处理。在 Supabase 上的 HIPAA 是一种共担责任。
- 具备 HIPAA 能力?
- 是——在付费方案上并签署 BAA
- 提供 BAA?
- 是,在符合条件的付费层级上
- 你的责任
- RLS、访问控制、加密、日志、PHI 处理
- 免费层级
- 不适合存放 PHI——无 BAA
Supabase 为 HIPAA 提供了什么
在符合条件的付费方案上,Supabase 会签署 BAA,并提供 HIPAA 所期望的基础设施控制——传输中和静态时的加密、访问控制,以及以合规配置运行的能力。这使 Supabase 成为处理受保护健康信息(PHI)的医疗应用的合法后端。
哪些仍是你的责任
BAA 覆盖的是平台,而非你的应用。你必须启用并正确限定行级安全,让 PHI 永远不会被错误的用户读取,把 service-role 密钥保留在服务端,在每个端点强制授权,启用审计日志,并确保 PHI 不会泄露进日志、分析或客户端打包文件。大多数「Supabase HIPAA」失败都是应用层的配置错误,而非平台缺陷。
面向 vibe-coded 医疗应用的 HIPAA
如果你用 AI 构建工具搭建了一个医疗应用,要格外小心:生成的应用经常带出开放的 RLS 和暴露的密钥——这对 PHI 来说是不可接受的。在处理任何真实患者数据之前,端到端验证访问控制并做一次安全审查。一次免费扫描能在几分钟内告诉你当前是否有 PHI 被暴露。
在上线之前先拿到放行许可。
加入抢先体验名单。我们会优先服务已部署应用、且日程上已有上线日期的创始人。
常见问题
- Supabase 免费层级符合 HIPAA 吗?
- 不符合。HIPAA 需要一份签署的 BAA,而 Supabase 只在符合条件的付费方案上提供。不要在免费层级上存储 PHI。
- 签署 BAA 就能让我的 Supabase 应用符合 HIPAA 吗?
- 不能。BAA 覆盖的是平台。只有当你同时正确配置了 RLS、访问控制、加密和日志,并在整个技术栈中妥善处理 PHI 时,你的应用才算合规。