security: H-1 settings-Whitelist + H-5 UUID-Guard + H-6 DNS-Pinning + H-7 Heartbeat-Timing

H-1: company.settings als typisiertes Sub-Schema
- schemas/company.py: CompanySettingsUpdate mit extra=forbid
- Nur bekannte Keys (carryover_expires_month/day) erlaubt
- Unbekannte Keys → HTTP 422

H-5: SQL-Injection defensiv absichern
- dependencies.py: UUID-Round-Trip str(_uuid.UUID(...)) + Sicherheitskommentar

H-6: CalDAV DNS-Rebinding-Schutz
- caldav_service.py: PinnedIPTransport — IP einmal auflösen, beim Request fixieren
- _validate_caldav_url gibt aufgelöste IP zurück
- Alle HTTP-Methoden nutzen PinnedIPTransport

H-7: Heartbeat-Timestamp nach Route-Logik
- kiosk_security.py: last_heartbeat_at-Update aus Dependency entfernt
- kiosk_service.py: Update erst in process_heartbeat() nach erfolgreicher Auth

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

backend/app/routers/companies.py

@@ -35,7 +35,13 @@ async def update_my_company(
     db: AsyncSession = Depends(get_db),
 ):
     company = await db.get(Company, current_user.company_id)
-    for field, value in data.model_dump(exclude_none=True).items():
+    update_data = data.model_dump(exclude_none=True)
+    # settings ist ein CompanySettingsUpdate-Objekt → als dict ins JSONB mergen
+    if "settings" in update_data and isinstance(update_data["settings"], dict):
+        existing = dict(company.settings or {})
+        existing.update(update_data.pop("settings"))
+        update_data["settings"] = existing
+    for field, value in update_data.items():
         setattr(company, field, value)
     return CompanyOut.model_validate(company)