Uma opção é salvar variáveis sensíveis encriptadas em um arquivo .ini. Ler, depois desencriptar em execução com uma chave diferente para cada ambiente (não salvar a chave no código fonte, é claro). Outra opção mais robusta é usar Secret Management Tools ou ferramentas de gerenciamento de segredos, como exemplos HashiCorp Vault (mais famosa), Confidant, Knox, Sops e outras ferramentas open source que existem.
Respondendo a "Show de bola mano! Gostaria de complementar que..." dentro da publicação [ Tutorial ] Como preparar a aplicação Django para por em produção
1