Show de bola mano! Gostaria de complementar que é uma boa prática colocar as variáveis de ambiente em um arquivo .ENV e utilizar o python-dotenv para carregar essas variáveis no arquivo settings.py. Assim pode-se ter diferentes configurações para diferentes ambientes, e essas variáveis que são sensíveis, também não apareceriam no Github.

Uma opção é salvar variáveis sensíveis encriptadas em um arquivo .ini. Ler, depois desencriptar em execução com uma chave diferente para cada ambiente (não salvar a chave no código fonte, é claro). Outra opção mais robusta é usar Secret Management Tools ou ferramentas de gerenciamento de segredos, como exemplos HashiCorp Vault (mais famosa), Confidant, Knox, Sops e outras ferramentas open source que existem.

Django tem um pacote chamado django-environ que serve para a mesma coisa também. Porém recomendo nao utilizar isso se for tentar trabalhar com o cron, pois utilizando isso o cron nunca funcionou comido.

verdade mesmo, boa !